android data collecte

TeaBot : ce trojan Android infecte les smartphones et vole des coordonnées bancaires

Ce trojan Android utilise de fausses applications pour infecter les smartphones et voler des coordonnées bancaires. Quelles sont les raisons de son succès et comment l’arrêter ? Éléments de réponse. 

La technique des fausses applications Android

Les cybercriminels utilisent désormais de fausses versions d’applications Android populaires pour infecter leurs victimes avec des trojan. Ces derniers sont installés sur l’appareil une fois que l’utilisateur a téléchargé un faux bloqueur de publicités. TeaBot, également connu sous le nom d’Anatsa, est capable de prendre le contrôle à distance total des appareils Android. Cela permet aux cybercriminels de voler des coordonnées bancaires et d’autres informations sensibles en enregistrant la frappe et en volant  les codes d’authentification.

Le malware est apparu pour la première fois en décembre de l’année dernière et la campagne reste active. Les auteurs de TeaBot tentent d’amener les victimes à télécharger le malware en le déguisant en fausses versions d’applications Android populaires, dont les versions réelles ont souvent été téléchargées des millions de fois. Comme détaillé par les chercheurs en cybersécurité de Bitdefender, il s’agit notamment d’applications antivirus, du lecteur multimédia open source VLC, des lecteurs de livres audio et plus encore. Les fausses applications utilisent des noms et des logos légèrement différents des versions authentiques.

Atteindre la victime via un faux bloqueur de publicités

Les applications malveillantes ne sont pas distribuées par le Google Play Store, mais sont entre autres hébergées sur des sites web tiers. Il existe de nombreuses autres façons pour les hackers de diriger les cibles vers ces applications malveillantes, mais beaucoup restent un mystère pour les chercheurs. Parmi ces techniques, la fausse application de blocage de publicités qui agit comme un compte-gouttes. Seulement, impossible de savoir comment les victimes sont initialement dirigées vers le bloqueur de publicités. 

 

Le faux bloqueur de publicités n’a aucune fonctionnalité réelle, mais demande des autorisations pour s’afficher sur d’autres applications, afficher des notifications et installer des applications extérieures à Google Play. Les fausses applications sont masquées après leur installation. Cependant, ces applications cachées affichent à plusieurs reprises de fausses publicités qui, ironiquement, affirment souvent que le smartphone a été endommagé par une application malveillante, encourageant l’utilisateur à cliquer sur un lien censé diriger vers la solution. C’est ce qui télécharge TeaBot sur l’appareil.  

Une méthode alambiquée, mais discrète

La méthode d’infection peut sembler alambiquée. Néanmoins, en la divisant en plusieurs étapes, il y a peu de risque que le malware soit détecté. TeaBot semble concentrer une grande partie de son ciblage sur l’Europe occidentale, l’Espagne et l’Italie. Ces pays restent les points chauds actuels des infections, bien que les utilisateurs au Royaume-Uni, en France, en Belgique, aux Pays-Bas et en Autriche soient également des cibles fréquentes.

La campagne reste active. De nombreuses méthodes de distribution en dehors du faux bloqueur de publicités restent inconnues, mais il y a toujours moyen de contourner ce type d’attaque. Selon les Bitdefender, télécharger des applications en dehors de la boutique officielle par exemple reste l’erreur à ne surtout pas faire. Par ailleurs, il ne faut jamais cliquer sur de liens dans les messages.