Google Play

Les chercheurs de ThreatFabric cataloguent un nouveau malware appelé Xenomorph qui affecte plus de 50 institutions financières européennes.

Détecté pour la première fois ce mois-ci, le malware Xenomorph est un cheval de Troie bancaire qui infecte les smartphones Android. Le virus affiche de faux écrans de connexion sur les applications bancaires mobiles pour voler les informations d’identification des clients. Ces données sont ensuite utilisées pour accéder aux comptes bancaires et voler des fonds.

Si les comptes sont protégés par une authentification en deux étapes, Xenomorph peut également intercepter les SMS contenant le code et les transmettre aux attaquants. Elle affecte actuellement 56 banques européennes et 12 portefeuilles de crypto-monnaies.

Xenomorph infecte les smartphones via une application du Google Play Store appelée Fast Cleaner qui le télécharge et l’exécute. Cette application a été téléchargée plus de 50 000 fois.

Ce malware a été baptisé Xenomorph en raison de la similitude de son code avec celui d’un autre cheval de Troie bancaire connu sous le nom d’Alien. Cependant, malgré ses liens évidents avec l’un des logiciels malveillants les plus répandus de ces deux dernières années, Xenomorph est radicalement différent d’Alien en termes de fonctionnalité.

Ce fait, en plus de la présence de fonctionnalités non implémentées et de la grande quantité de logs présents dans le malware, peut suggérer qu’il s’agit d’un nouveau projet en cours par les acteurs responsables de l’Alien original, ou au moins par quelqu’un qui connaît bien sa base de code. Toutefois, il ne s’agit que de spéculations à ce stade.

Les chercheurs de ThreatFabric, d’après leur expérience dans ce type de menace bancaire, affirment que le malware est en phase de développement car certaines commandes du virus ne sont pas encore implémentées. Il s’agit actuellement d’un cheval de Troie bancaire Android moyen avec beaucoup de potentiel inexploité, qui pourrait être mis à jour très prochainement.

Les cibles du Xenomorph :

Plus d’information:
https://www.threatfabric.com/blogs/xenomorph-a-newly-hatched-banking-trojan.html

Après avoir été disponible pendant plus de deux semaines, une application malveillante d’authentification à deux facteurs (2FA) a été retirée de Google Play, mais pas avant d’avoir été téléchargée plus de 10 000 fois.

L’application, qui est entièrement fonctionnelle en tant qu’authentificateur 2FA, est chargée du malware Vultur Stealer qui cible les données financières de l’utilisateur.

Les chercheurs de Pradeo recommandent aux utilisateurs qui ont installé l’application malveillante, nommée « 2FA Authenticator », de la supprimer immédiatement de leurs appareils, car ils sont toujours en danger, tant pour le vol de données bancaires que pour d’autres attaques possibles grâce aux autorisations étendues de l’application.

Les cybercriminels ont développé une application fonctionnelle et convaincante, en utilisant le code de l’application open source Aegis, mais modifiée par des modules complémentaires malveillants. Cela l’a aidé à se propager dans Google Play sans être détecté, selon un rapport de Pradeo publié jeudi.

La demande d’autorisations élevées permet aux attaquants d’exécuter un certain nombre de fonctions supplémentaires, telles que l’accès à la localisation de l’utilisateur, la possibilité d’effectuer des attaques géociblées, la désactivation du verrouillage de l’écran ou du mot de passe, le téléchargement et l’installation d’apps tierces, etc.

L’équipe de Pradeo rapporte que, bien que leurs chercheurs aient contacté Google pour faciliter leurs découvertes, la société a mis près de 15 jours pour désactiver l’application.

Plus d’information:
https://threatpost.com/2fa-app-banking-trojan-google-play/178077/
https://blog.pradeo.com/vultur-malware-dropper-google-play

learn.hack.repeat

Étiquette : Google Play

Xenomorph, le nouveau malware qui menace les banques européennes

Une application 2FA contenant un cheval de Troie bancaire infecte 10000 victimes via Google Play