Mobile

Un malware bancaire qui peut tout voler

Nous avons déjà vu comment les logiciels publicitaires tels que Leech, Guerrilla ou Ztorg utilisent les privilèges de superutilisateur. Par contre, du côté des malwares bancaires, les attaques qui exploitent les privilèges root ne sont pas la norme car il est possible de voler l’argent à l’aide de toute une série de méthodes qui ne requièrent pas l’élévation des privilèges. Au début du mois de février 2016, Kaspersky Lab a détecté le trojan bancaire Trojan-Banker.AndroidOS.Tordow.a dont les auteurs ont considéré que les privilèges root pouvaient être utiles. Nous avons suivi le développement de ce malware et nous sommes parvenus à la conclusion que les possibilités de Tordow étaient de loin supérieures aux fonctions de la majorité des malwares bancaires détectés à ce jour et qu’elles permettaient aux individus malintentionnés de déployer de nouveaux types d’attaque.

Apparition

L’infection Tordow débute par l’installation d’une application très utilisée comme « VKontakte », « DrugVakrug », « Pokemon Go », « Telegram », « Odnoklassniki » ou « Subway Surf ». Il ne s’agit pas ici d’applications originales, mais bien de copies distribuées en dehors du magasin officiel Google Play. Les auteurs de virus téléchargent les applications légitimes, les décomposent, puis ajoutent du nouveau code et de nouveaux fichiers.

Un malware bancaire qui peut tout voler

Code ajouté à une application légitime

Toute personne qui possède des connaissances élémentaires dans le développement d’applications pour Android peut réaliser ce genre d’opération. L’individu malintentionné obtient alors une application qui ressemble énormément à l’application originale et qui remplit ses fonctions légitimes attendues. Mais elle dispose également de la fonctionnalité malveillante indispensable aux individus malintentionnés.

Principe de fonctionnement

Dans le cas étudié, le code malveillant inséré dans l’application légitime déchiffre un fichier ajouté par les individus malintentionnés dans les ressources de l’application et l’exécute.

Le fichier exécuté contacte le serveur des individus malintentionnés et télécharge la partie principale de Tordow. Celle-ci contient des liens qui permettent de télécharger plusieurs autres fichiers dont un code d’exploitation pour l’obtention des privilèges root, de nouvelles versions du malware, etc. Le nombre de liens change en fonction des plans des individus malintentionnés. De plus, chaque fichier téléchargé est capable de décharger de nouveaux modules depuis le serveur, de les déchiffrer et de les lancer. Plusieurs modules sont donc téléchargés ainsi sur l’appareil infecté. Le nombre et les fonctions de ces modules dépendent également des intentions des opérateurs de Tordow. D’une manière ou d’une autre, les individus malintentionnés sont en mesure d’administrer l’appareil à distance grâce à des commandes émises depuis le serveur de commande.

Les cybercriminels se retrouvent donc en possession de toutes les fonctions nécessaires pour voler l’argent des victimes à l’aide de méthodes classiques adoptées par les trojans bancaires mobiles et les escrocs. Parmi les fonctionnalités du malware, citons :

  • L’envoi, le vol et la suppression de SMS.
  • L’enregistrement, la déviation et le blocage des appels.
  • La vérification du solde disponible.
  • Le vol des contacts.
  • La réalisation d’appels.
  • La modification du serveur de commande.
  • Le téléchargement et l’exécution de fichiers.
  • L’installation et la suppression d’applications.
  • Le verrouillage de l’appareil et l’affichage d’une page Internet envoyée par le serveur des individus malintentionnés.
  • La création de la liste des fichiers stockés sur les appareils et transfert de celle-ci aux individus malintentionnés ; envoi et changement de nom de n’importe quel fichier.
  • Le redémarrage du fichier.

Autorisations de superutilisateur

Outre le téléchargement des modules propres au trojan bancaire, Tordow (dans le cadre de la chaîne programmée de téléchargement de modules) télécharge également un kit d’exploitation qui lui permet d’obtenir les privilèges root. Le malware dispose ainsi d’un nouveau vecteur d’attaques et d’autres possibilités uniques.

Tout d’abord, le trojan installe un des modules téléchargés dans le dossier système, ce qui complique énormément sa suppression.

Ensuite, grâce aux autorisations de superutilisateur, les individus malintentionnés volent les bases de données du navigateur par défaut d’Android et du navigateur Google Chrome, si celui-ci est installé.

Un malware bancaire qui peut tout voler

Code d’envoi des données des navigateurs au serveur.

Ces bases contiennent tous les noms d’utilisateur et mots de passe enregistrés par l’utilisateur dans le navigateur ainsi que l’historique des visites, les fichiers cookie, voire parfois les données enregistrées des cartes bancaires.

Un malware bancaire qui peut tout voler

Nom d’utilisateur et mot de passe d’un site déterminé dans la base de données du navigateur

Les individus malintentionnés peuvent accéder ainsi à une multitude de comptes de la victime sur différents sites.

Troisièmement, les privilèges de superutilisateur permettent de voler pratiquement n’importe quel fichier dans le système, depuis les photos jusqu’aux fichiers contenant les données des comptes des applications mobiles en passant par les documents.

Ces attaques peuvent se solder sur le vol d’un volume important de données de l’utilisateur. Nous déconseillons l’installation d’application téléchargées depuis des sources non officielles et nous encourageons les utilisateurs à adopter une solution de protection de leur appareil Android.

MD5

06CBA6FF7E9BCF2C61EF2DD8B5E73A30
3C1B589DA2F8DB972E358DD96F9B54B0
5F5906017C6F7D7DE5BD50440969E532
8E00657A004F3040E850CA361DE64D64
ACF114BB47A624438ADA26B8D449C06D

Un malware bancaire qui peut tout voler

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

  1. Noury

    Merci pour le parager de vos connaissances, vos conseils et votre savoir faire

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception