Malwares Android de superposition

Le marché des malwares pour Android s’est fortement activé grâce à la popularité croissante des malwares de superposition. D’après IBM X-Force, ces malwares sont capables de voler les données des comptes utilisateur sur les smartphones et aident les individus malintentionnés à déjouer les systèmes d’authentification à deux facteurs.

Les malwares de superposition créent un écran transparent qui permet de superposer des informations sur les informations principales affichées par une application Android légitime. Cet écran de phishing permet aux attaquants d’obtenir des données confidentielles de l’utilisateur que le malware envoie à un serveur distant après la saisie.

D’après les chercheurs, la demande pour les malwares de superposition a été provoquée par une guerre des prix et un flux de nouvelles offres qui ont vraiment inondés le marché. D’après Limor Kessem, experte attachée au service d’enquête d’IBM, c’est vers la fin de l’année dernière que les milieux criminels ont commencé à s’intéresser aux malwares de superposition, suite à la fuite du code source de GM Bot (appelé Acecard chez Kaspersky Lab). Ce code source a fait l’objet de modifications ; la version actualisée de GM Bot coûte beaucoup plus cher que celle d’il y a 6 mois : elle est désormais vendue pour 15 000 dollars américains, contre 5 000 antérieurement.

Dans des commentaires qu’elle a partagés avec Threatpost, Limor Kessem explique que ces prix aussi élevés expliquent la concurrence ravivée au niveau des prix parmi les éditeurs de malwares similaires pour Android. L’équipe de X-Force a détecté plusieurs versions sur le marché noir, dont Bilal Bot et Cron Bot. Le volume des ventes de KNL Bot a également fortement augmenté. Les prix de ces bots alternatifs varient ente 3 000 et 6 000 dollars. Certains sont même proposés en tant que service.

Limor Kessem observe que « sur le marché noir, les trojans bancaires (pour ordinateur personnel) sont délaissés au profit des malwares de superposition, le nouveau couteau suisse des cybercriminels. Ils sont souples et efficaces au niveau du vol des informations d’authentification pour les systèmes de banque électronique et d’une multitude d’autres types de données confidentielles sur les périphériques Android.

La découverte de GM Bot remonte à 2014. A l’instar de ses prédécesseurs Bilal Bot, Cron Bot et KNL Bot, ce malware exploite une vulnérabilité dans les anciennes versions d’Android (inférieures à 5.0) qui permet de surveiller les actions de l’utilisateur. Limor Kessem n’est pas prête à affirmer avec certitude que toutes les versions citées de GM Bot utilisent le même code de base : « Il est fort probable que cela soit le cas, mais nous n’avons pas encore analysé les échantillons. »

Les versions les plus récentes de ces malwares de superposition se ressemblent, notamment par le fait qu’elles sont vendues directement par les développeurs. Limor Kessem constate que « les intermédiaires sont de moins en moins nombreux. L’assistance pour le malware est offerte par les développeurs en personne. Ils publient fréquemment des mises à jour, éliminent des bogues et offrent un service d’assistance technique. »

Les chercheurs de X-Force ont également observé des similitudes au niveau des fonctions dans tous les APK ; outre la capacité d’afficher un écran de phishing, tous les malwares de superposition sont capables d’intercepter les SMS, de transférer les appels téléphoniques et de surveiller les codes de pays. Pour éviter la détection, ils utilisent tous le polymorphisme.

Les chercheurs s’attendent à l’émergence de réseaux de zombies bâtis sur des malwares de superposition qui ont déjà fait preuve de leur efficacité comme outil de vol d’informations d’identification financières, de code d’authentification et d’autres données de l’utilisateur sur les appareils nomades. Mais il y a malgré tout une bonne nouvelle. « Les malwares de superpositions sont faciles à maîtriser » a déclaré Limor Kessem en expliquant que « les développeurs d’applications doivent penser au risque d’attaques par superposition. Les applications doivent être plus technologiques et doivent pouvoir se protéger contre de telles attaques ou au moins prévenir l’utilisateur lorsqu’une superposition est détectée sur l’appareil. »

Fonte: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *