BankBot continue à provoquer des problèmes

Le malware bancaire BankBot, qui est apparu en janvier de cette année, a réussi à déjouer les mesures de protection mises en œuvre par Google et ne cesse de réapparaître dans le magasin d’applications officiel.

L’histoire de BankBot a débuté avec la divulgation du code d’un trojan bancaire pour Android inconnu sur un forum de pirates clandestin. Ensuite, ce code a été perfectionné, notamment au niveau des techniques de contournement des mesures de protection de Google sous la forme de Google Bouncer, et a servi de fondation à BankBot qui déjà à la fin du mois attaquait activement les clients de banques russes. Au cours du mois suivant, le code du malware a subi de nouveaux perfectionnements qui lui ont permis d’attaquer des clients de banques en Grande-Bretagne, en Autriche, en Allemagne et en Turquie.

Les chercheurs ont identifié un total de trois campagnes distinctes liées à l’apparition de BankBot dans le magasin officiel de Google. A chaque fois, Google a réagi efficacement et a éliminé les malwares. Il s’avère que dans tous les cas, le malware bancaire avait passé la vérification Bouncer.

Le mois d’avril touche bientôt à sa fin et ces campagnes sont toujours actives. BankBot a été découvert par des chercheurs de chez Dr. Web, tandis que c’est à l’ESET que l’on doit la détection du malware sur Google Play. C’est la société néerlandaise Securify qui a signalé les deux cas suivants de diffusion de BankBot via le magasin Google.

La première application malveillante détectée dans le cadre de la nouvelle campagne de BankBot s’appelle Funny Videos 2017. Elle a été téléchargée entre 1 000 et 5 000 fois avant que Google ne la supprime du magasin. L’application HappyTimes Videos, infectée par BankBot, a été détectée le week-end dernier et supprimée lundi.

BankBot affiche un écran de phishing qui se superpose sur la fenêtre d’une application légitime de banque électronique via mobile. Il s’avère quel trojan est capable de voler les données non seulement d’applications bancaires, mais également de services très utilisés comme Facebook, Viber, YouTube, WhatsApp, Uber, Snapchat, WeChat, IMO, Instagram, Twitter ou Google Play Store.

Qui plus est, BankBot affiche un côté ransomware en bloquant l’écran du smartphone. Il est également capable d’intercepter les messages SMS afin de compromettre le système d’authentification à deux facteurs.

D’après les chercheurs BankBot aurait ciblé 424 applications bancaires. D’après les experts, le trojan s’est converti au cours de cette période en l’une des menaces à plusieurs niveaux les plus complexes et est à l’origine de nombreux problèmes pour les utilisateurs, les banques et les chercheurs.

Source : Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *