nouveau malware Vultur voler identifiants bancaires

Smartphones Android : un nouveau malware se fait passer pour une mise à jour système

Après avoir révélé des configurations de cloud non sécurisées, les chercheurs de Zimperium zLabs dévoilent aux utilisateurs d’Android une nouvelle application Android intelligente et malveillante.

Un malware sous forme d’une application de mise à jour

Ce dernier malware prend la forme d’une application de mise à jour du système afin de voler des données, des images, des messages et prendre le contrôle total sur des téléphones Android. Après avoir pris le contrôle, les attaquants peuvent entre autres enregistrer des appels audio et téléphoniques, afficher l’historique du navigateur, prendre des photos et accéder aux messages WhatsApp.

La fausse mise à jour a été détectée par le moteur basé sur l’apprentissage automatique z9, installé sur les téléphones Android équipés du système de protection zIPS de zLabs. Une enquête a montré que cette activité était liée à une campagne de logiciels espions avancée aux capacités complexes.

Des capacités d’espionnage élevées

Ce logiciel malveillant peut voler des messages sur les systèmes de messagerie instantanée et les fichiers de leur base de données à l’aide de la racine. Il peut examiner les favoris et les recherches des navigateurs par défaut, inspecter les favoris et l’historique de recherche à partir des navigateurs Internet de Google Chrome, Mozilla Firefox et Samsung. Ce malware peut aussi rechercher les fichiers avec les extensions spécifiques .doc, .docx, .pdf, .xls et .xlsx. 

Par ailleurs, il a la capacité d’examiner les données du presse-papiers et le contenu des notifications. Il peut prendre des photos périodiques via la caméra avant ou arrière, afficher les applications installées, voler des images et des vidéos, surveiller via GPS, voler des contacts téléphoniques et des messages SMS ainsi que des journaux d’appels et exfiltrer des informations sur l’appareil (nom de l’appareil, données de stockage). De plus, le malware peut même se dissimuler en cachant son icône dans le menu des appareils.

Mode de fonctionnement 

Ce logiciel malveillant fonctionne en s’exécutant sur Firebase Command and Control (C&C) lors de l’installation à partir d’un magasin d’applications tiers non Google. Il est répertorié sous les noms « update » et « refreshAllData ». Pour améliorer l’effet de légitimité, l’application contient des informations sur les fonctionnalités : présence de WhatsApp, pourcentage de batterie, statistiques de stockage, type de connexion Internet, jeton de service de messagerie Firebase. Une fois que l’utilisateur a choisi de mettre à jour les informations existantes, l’application s’infiltre dans l’appareil concerné. 

Lors de la diffusion, le C&C reçoit toutes les données pertinentes, y compris le nouveau jeton Firebase généré. Pendant que la communication Firebase effectue les commandes nécessaires, le serveur C&C dédié utilise une requête POST pour collecter les données volées. L’ajout d’un nouveau contact, l’installation d’une nouvelle application via le contentObserver d’Android ou la réception d’un nouveau SMS font partie des actions notables qui déclenchent l’exfiltration par l’application.

Pin It on Pinterest