Les smartphones en danger face à un nouveau programme malveillant

Récemment, des spécialistes de la sécurité informatique ont fait la découverte d’un nouveau programme malveillant.

Il est baptisé EventBot et apparemment, il est assez sophistiqué.

Cet article va aussi vous intéresser : Un programme malveillant inamovible sur un modèle de smartphone subventionné par l’État Américain

Il a été repéré ce jeudi 30 avril par une équipe de sécurité de Cybereason. C’est un malware qui s’en prend aux smartphones Android. Mais selon les descriptions faites par les spécialistes, ce programme malveillant se présente comme une menace pour des informations de nature financière que ce soit pour les consommateurs lambda que pour les entreprises. Ce malware cumule à la fois une fonctionnalité de cheval de Troie, d’extracteur d’informations ainsi que de logiciels espions. En clair, il est possible pour le cybercriminel qui utilise ce logiciel de non seulement voler des informations financières, mais aussi ne pouvoir espionner ses victimes.

Les spécialistes ont estimé que les cibles privilégiées par ce programme informatique s’étend jusqu’à 200 logiciels financiers et de cryptomonnaies pour mobile Android. On peut citer parmi tant d’autres Paypal, Barclays, Coinbase, CapitalOne UK, Revolut et TransferWise. Les cibles spécifiques de ce malware sont généralement des services bancaires et financiers américains ou européens. Au vu des spécialistes, il se pourrait que le programme soit toujours encore de développement. Cela s’aperçoit au niveau des numéros qui indique la version tel que 0.0.0.1 ou 0.3.0.1 sans oublier certains identifiants qui sont nommés avec « Test » dans le code Source.

Il faut noter par ailleurs que ce malware abuse des fonctions d’accessibilité des smartphones Android dans le but de la compromettre. Au moment où l’application est téléchargé ( ce qui bien sûr ne peut se faire que par l’intermédiaire d’une boutique non-officielle) l’application se fera passer pour une application légitime en demandant normalement les autorisations pour fonctionner. Si l’utilisateur principal ne fait pas suffisamment attention, il se fera avoir. Les autorisations sont comprises généralement par l’accès à certaines fonctions d’accessibilité, la possibilité

– d’ouvrir des sockets réseau

– de fonctionner en arrière plan

– lire de stockage externe

– de prendre le contrôle de l’installation des paquets.

Si la cible du cybermalveillant accepte les autorisations de l’application par mégarde, d’EventBot peut « fonctionner comme un keylogger et peut récupérer des notifications sur les autres applications installées et le contenu des fenêtres ouvertes » expliquent les chercheurs. Et ce n’est pas tout. L’application pourra alors télécharger et même mettre à jour de manière automatique un fichier de configuration qui contiendrait une liste des logiciels financiers ce qui sont ciblées.

Pour le moment, les institutions financières dont les applications sont ciblées sont généralement en Italie en France, au Royaume-Uni et en Allemagne. Le malware télécharge aussi les URL de commande. Les informations qui sont transmises entre les fichiers et le malware sont généralement chiffrés à l’aide d’un protocole de Base64, RC4 et Curve25519. Les chercheurs de Cybereason notaient ceci : « Toutes les versions les plus récentes d’EventBot contiennent également une bibliothèque ChaCha20 qui peut améliorer les performances par rapport à d’autres algorithmes comme RC4 et AES, mais elle n’est pas utilisée actuellement, cela implique que les auteurs travaillent activement à l’optimisation d’EventBot dans le temps. ».

La dangerosité de ce programme se situe au niveau du fait que non seulement il peut collecter aussi des informations d’un système seulement à partir d’un appareil infecté, mais il peut aussi collecter les SMS smartphone sur lequel il est installé, ce qui bien sûr peut permettre aux pirates informatiques de contourner facilement l’authentification à double facteur, « d’effectuer des injections web, de saisir les codes PIN des écrans Samsung, d’effectuer une surveillance. ». Les fonctionnalités de EventBot eu égard à l’abus de fonction d’accessibilité. Avec l’augmentation accrue les attaques contre les smartphones ces derniers temps, les chercheurs de Cybereason pensent que ce programme malveillant risque à l’avenir de poser des véritables problèmes. Surtout dans le contexte où « il fait l’objet d’améliorations itératives constantes, abuse d’une fonctionnalité critique du système d’exploitation et cible les applications financières. ».

Pour le moment, les chercheurs n’ont pas encore réussi a détecté une vague au d’activités impliquant ce virus. Cela peut s’expliquer par le fait qu’il soit encore en développement. Mais certains soupçons demeurent. Les usagers d’Android doivent alors redoubler de vigilance à l’avenir.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage