LEBIGDATA.FR I.A, Cloud & Cybersécurité
Des chercheurs découvrent un nouveau malware baptisé Vultur, utilisé pour voler des identifiants bancaires. Celui-ci utilise des fonctionnalités d'enregistrement d'écran pour voler des informations personnelles.
Malware distribué via Google Play Store
Le malware, surnommé Vultur, a été découvert par des chercheurs de la société de sécurité ThreatFabric basée à Amsterdam. Déguisé en une application appelée Protection Guard qui a déjà été installée près de 5 000 fois, celui-ci aurait été distribué par Google Play Store. Ce nouveau malware basé sur Android utilise des fonctionnalités d'enregistrement d'écran pour se connecter et voler des informations sensibles à partir d'appareils ciblés. Les applications bancaires et de crypto-portefeuille d'entités situées en Italie, en Australie et en Espagne seraient les principales cibles.
Il s'agit d'un cheval de Troie d'accès à distance (RAT) qui tire parti des autorisations d'accessibilité pour capturer les frappes. Vultur a également tiré parti des fonctionnalités d'enregistrement d'écran pour enregistrer toutes les activités sur l'appareil ciblé, lui permettant de voler des informations d'identification bancaires et plus encore. Lorsque Vultur est installé pour la première fois, il abuse des services d'accessibilité intégrés au système d'exploitation mobile afin d'obtenir les autorisations requises. Pour ce faire, il emprunte une superposition à d'autres familles de logiciels malveillants. Après quoi, il surveille toutes les demandes qui déclenchent les services d'accessibilité.
Des tactiques d'attaques évolutives et automatisées
Selon les chercheurs de ThreatFabric, ce serait la première fois qu'ils découvrent ce genre de cheval de Troie bancaire Android qui utilise l'enregistrement d'écran et l'enregistrement de frappe comme stratégie principale pour récolter les identifiants de connexion de manière automatisée et évolutive. Les tactiques employées par les acteurs derrière Vultur sont en décalage par rapport au développement de superposition HTML commun qu'on voit habituellement dans d'autres chevaux de Troie bancaires Android qui mettent du temps pour siphonner les informations.
Pour pallier cet inconvénient, les auteurs de Vultur ont choisi d'enregistrer tout simplement ce qui est affiché à l'écran, ce qui leur permet d'obtenir au final le même résultat, mais plus rapidement. Vultur montre encore une fois comment les acteurs passent de l'utilisation de chevaux de Troie loués (MaaS) vendus sur des marchés undergrounds à des logiciels malveillants propriétaires/privés adaptés aux besoins d'un groupe. Ces attaques sont évolutives et automatisées. Les actions mises en place pour effectuer une fraude peuvent en effet être scénarisées sur le backend du malware et envoyées sous forme de séquence de commandes, ce qui facilite le hit-and-run pour le ou les acteurs.
- Partager l'article :
