Les chercheurs en cybersécurité de Threat Fabric ont découvert une nouvelle campagne assez réussie pour livrer des chevaux de Troie aux utilisateurs d'Android (ouvre dans un nouvel onglet).
Les experts préviennent que depuis que Google a mis à jour sa « Politique relative aux programmes pour développeurs », les acteurs malveillants recherchent de nouvelles façons de propager des logiciels malveillants via le Play Store et de rester cachés ce faisant.
Cette nouvelle campagne comprend plusieurs droppers, avec plus de 130 000 téléchargements entre eux, et déploie deux chevaux de Troie connus sur les appareils mobiles des victimes : Sharkbot et Vultur. Alors que les cibles de Sharkbot sont exclusivement italiennes, les opérateurs Vultur jettent un filet légèrement plus large, ciblant non seulement les Italiens, mais aussi le Royaume-Uni, les Pays-Bas, l'Allemagne et la France.
fausses mises à jour
Le mode opératoire de Sharkbot est simple : la version trouvée dans le référentiel d'applications mobiles de Google n'est pas malveillante, mais dès que l'utilisateur l'allume, elle affiche une fausse page Play Store, obligeant la victime à « mettre à jour » l'application avant de l'utiliser. que. "Puisque les victimes sont sûres de l'origine de l'application, elles installeront et exécuteront très probablement la charge utile Sharkbot téléchargée", ont conclu les chercheurs.
L'objectif de Sharkbot est de transférer de l'argent, depuis les comptes bancaires appartenant aux victimes, vers les opérateurs, via des systèmes de transfert automatique. NCC Group l'a décrit comme une « technique avancée » rarement utilisée avec les logiciels malveillants Android, qui permet aux pirates de remplir automatiquement les champs des applications bancaires mobiles légitimes.
Pendant ce temps, Vultur se concentre sur les applications de médias sociaux et de messagerie, les applications bancaires et les applications d'échange de crypto-monnaie.
Entre les deux, Vultur semble être le cheval de Troie le plus performant, Threat Fabric affirmant qu'il a atteint plus de 100 000 victimes potentielles de fraude au cours des derniers mois.
"La distribution Dropper sur Google Play reste le moyen le plus abordable et le plus évolutif d'atteindre les victimes pour la plupart des acteurs à différents niveaux", ont conclu les chercheurs.
"Alors que les tactiques sophistiquées, telles que le lancement d'attaques par téléphone, nécessitent plus de ressources et sont difficiles à mettre à l'échelle, les droppers sur les magasins officiels et tiers permettent aux acteurs malveillants d'atteindre un public large et sans méfiance avec des efforts raisonnables."
- Résistez aux virus et aux rançongiciels avec les meilleurs outils de pare-feu disponibles
Via : Questions de sécurité (Ouvre dans un nouvel onglet)