Un malware bancaire qui peut tout voler

Contenu

Nous avons déjà vu comment les logiciels publicitaires tels que Leech, Guerrilla ou Ztorg utilisent les privilèges de superutilisateur. Par contre, du côté des malwares bancaires, les attaques qui exploitent les privilèges root ne sont pas la norme car il est possible de voler l’argent à l’aide de toute une série de méthodes qui ne requièrent pas l’élévation des privilèges. Au début du mois de février 2016, Kaspersky Lab a détecté le trojan bancaire Trojan-Banker.AndroidOS.Tordow.a dont les auteurs ont considéré que les privilèges root pouvaient être utiles. Nous avons suivi le développement de ce malware et nous sommes parvenus à la conclusion que les possibilités de Tordow étaient de loin supérieures aux fonctions de la majorité des malwares bancaires détectés à ce jour et qu’elles permettaient aux individus malintentionnés de déployer de nouveaux types d’attaque.

Apparition

L’infection Tordow débute par l’installation d’une application très utilisée comme « VKontakte », « DrugVakrug », « Pokemon Go », « Telegram », « Odnoklassniki » ou « Subway Surf ». Il ne s’agit pas ici d’applications originales, mais bien de copies distribuées en dehors du magasin officiel Google Play. Les auteurs de virus téléchargent les applications légitimes, les décomposent, puis ajoutent du nouveau code et de nouveaux fichiers.

Un malware bancaire qui peut tout voler

Code ajouté à une application légitime

Toute personne qui possède des connaissances élémentaires dans le développement d’applications pour Android peut réaliser ce genre d’opération. L’individu malintentionné obtient alors une application qui ressemble énormément à l’application originale et qui remplit ses fonctions légitimes attendues. Mais elle dispose également de la fonctionnalité malveillante indispensable aux individus malintentionnés.

Principe de fonctionnement

Dans le cas étudié, le code malveillant inséré dans l’application légitime déchiffre un fichier ajouté par les individus malintentionnés dans les ressources de l’application et l’exécute.

Le fichier exécuté contacte le serveur des individus malintentionnés et télécharge la partie principale de Tordow. Celle-ci contient des liens qui permettent de télécharger plusieurs autres fichiers dont un code d’exploitation pour l’obtention des privilèges root, de nouvelles versions du malware, etc. Le nombre de liens change en fonction des plans des individus malintentionnés. De plus, chaque fichier téléchargé est capable de décharger de nouveaux modules depuis le serveur, de les déchiffrer et de les lancer. Plusieurs modules sont donc téléchargés ainsi sur l’appareil infecté. Le nombre et les fonctions de ces modules dépendent également des intentions des opérateurs de Tordow. D’une manière ou d’une autre, les individus malintentionnés sont en mesure d’administrer l’appareil à distance grâce à des commandes émises depuis le serveur de commande.

Les cybercriminels se retrouvent donc en possession de toutes les fonctions nécessaires pour voler l’argent des victimes à l’aide de méthodes classiques adoptées par les trojans bancaires mobiles et les escrocs. Parmi les fonctionnalités du malware, citons :

  • L’envoi, le vol et la suppression de SMS.
  • L’enregistrement, la déviation et le blocage des appels.
  • La vérification du solde disponible.
  • Le vol des contacts.
  • La réalisation d’appels.
  • La modification du serveur de commande.
  • Le téléchargement et l’exécution de fichiers.
  • L’installation et la suppression d’applications.
  • Le verrouillage de l’appareil et l’affichage d’une page Internet envoyée par le serveur des individus malintentionnés.
  • La création de la liste des fichiers stockés sur les appareils et transfert de celle-ci aux individus malintentionnés ; envoi et changement de nom de n’importe quel fichier.
  • Le redémarrage du fichier.

Autorisations de superutilisateur

Outre le téléchargement des modules propres au trojan bancaire, Tordow (dans le cadre de la chaîne programmée de téléchargement de modules) télécharge également un kit d’exploitation qui lui permet d’obtenir les privilèges root. Le malware dispose ainsi d’un nouveau vecteur d’attaques et d’autres possibilités uniques.

Tout d’abord, le trojan installe un des modules téléchargés dans le dossier système, ce qui complique énormément sa suppression.

Ensuite, grâce aux autorisations de superutilisateur, les individus malintentionnés volent les bases de données du navigateur par défaut d’Android et du navigateur Google Chrome, si celui-ci est installé.

Un malware bancaire qui peut tout voler

Code d’envoi des données des navigateurs au serveur.

Ces bases contiennent tous les noms d’utilisateur et mots de passe enregistrés par l’utilisateur dans le navigateur ainsi que l’historique des visites, les fichiers cookie, voire parfois les données enregistrées des cartes bancaires.

Un malware bancaire qui peut tout voler

Nom d’utilisateur et mot de passe d’un site déterminé dans la base de données du navigateur

Les individus malintentionnés peuvent accéder ainsi à une multitude de comptes de la victime sur différents sites.

Troisièmement, les privilèges de superutilisateur permettent de voler pratiquement n’importe quel fichier dans le système, depuis les photos jusqu’aux fichiers contenant les données des comptes des applications mobiles en passant par les documents.

Ces attaques peuvent se solder sur le vol d’un volume important de données de l’utilisateur. Nous déconseillons l’installation d’application téléchargées depuis des sources non officielles et nous encourageons les utilisateurs à adopter une solution de protection de leur appareil Android.

MD5

06CBA6FF7E9BCF2C61EF2DD8B5E73A30
3C1B589DA2F8DB972E358DD96F9B54B0
5F5906017C6F7D7DE5BD50440969E532
8E00657A004F3040E850CA361DE64D64
ACF114BB47A624438ADA26B8D449C06D

Posts similaires

Il y a 1 commentaire
  1. Noury

    Merci pour le parager de vos connaissances, vos conseils et votre savoir faire

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *