Les chercheurs en sécurité de Cleafy ont révélé un nouveau trojan Android qui détourne les informations d’identification des utilisateurs ainsi que les SMS pour faciliter les activités frauduleuses contre les banques à travers l’Europe.
Un malware surnommé Teabot
Selon les chercheurs, une fois que le logiciel malveillant surnommé Teabot est installé sur l’appareil de la victime, les auteurs de l’attaque peuvent obtenir un flux en direct de l’écran de l’appareil. Une interaction via ses services d’accessibilité est aussi possible. Le malware a été utilisé pour détourner les informations d’identification des utilisateurs et les messages SMS afin de faciliter des activités frauduleuses contre des banques en Espagne, en Allemagne, en Italie, en Belgique et aux Pays-Bas.
Les équipes de Cleafy ont découvert pour la première fois ce cheval de Troie bancaire en janvier. Elles ont constaté qu’il permettait de commettre une fraude contre plus de 60 banques à travers l’Europe. Le 29 mars, les analystes de Cleafy ont découvert que le trojan était utilisé contre des banques italiennes. Et en mai, les banques en Belgique et aux Pays-Bas traitaient également ce problème.
Teabot : toujours en développement
Les recherches ont montré que Teabot est toujours en développement. Dans ses premières phases, le malware s’est uniquement concentré sur les banques espagnoles avant de s’attaquer aux banques en Allemagne et en Italie. Le malware prend actuellement en charge 6 langues différentes : l’espagnol, l’anglais, l’italien, l’allemand, le français et le néerlandais.
Une fois téléchargée sur l’appareil, l’application malveillante tente une installation en tant que service Android qui est un composant d’application capable d’effectuer des opérations de longue durée en arrière-plan. TeaBot utilise de manière abusive cette fonctionnalité pour se cacher silencieusement. Une fois installé, le malware se révèle être indétectable et persistant selon le rapport de Cleafy.
Mode de fonctionnement de Teabot
Installé sur l’appareil, le malware demandera des autorisations Android pour observer les actions de la victime, récupérer des données et effectuer des gestes arbitraires. Lorsque les autorisations sont accordées, l’application supprime son icône de l’appareil. Les hackers sont aujourd’hui conscients du véritable potentiel des appareils mobiles et la menace qu’ils peuvent représenter pour l’utilisateur final.
Selon les experts, il est important de se rappeler que même si les applications ne sont pas sur Google Play, les tactiques de phishing utilisées par les pirates derrière Teabot / Flubot sont aussi efficaces que n’importe quelle famille de menaces côté PC. Ils peuvent réussir à obtenir une énorme base d’infection dans un court laps de temps. Ces menaces ne doivent pas être sous-estimées.
- Partager l'article :