Android : Un cheval de Troie bancaire sévit sur le Google Play Store

Des chercheurs en sécurité informatique de ThreatFabric ont découvert un cheval de Troie bancaire dissimulé dans une application de booster de batterie disponible sur le Google Play Store.

Et non, ce n’est pas parce qu’une application est proposée sur le Google Play Store, qu’elle est garantie sans risque. Dernières preuves en date, le malware Androïd Brata qui avait refait parler de lui en janvier dernier, et plus récemment l’application Fast Cleaner.

Un passager indésirable

Cette dernière, téléchargée plus de 50.000 fois, est censée booster la batterie d’un téléphone en le nettoyant. Problème, elle abrite aussi un cheval de Troie bancaire capable de voler vos informations d’identification et d’intercepter les SMS de double authentification. 

« D'après les renseignements recueillis, les utilisateurs de 56 banques européennes différentes (En Espagne, Italie, Portugal et Belgique notamment ndlr) font partie des cibles de ce nouveau cheval de Troie malveillant Android », indique les chercheurs.

Le malware a été baptisé Xenomorph, en référence à l’extraterrestre des films Alien. Mais pas seulement, Alien est également le nom d’un autre malware bien connu. Les chercheurs soupçonnent les deux chevaux de Troie d'être sortis de la même écurie. Ces malwares utilisent par exemple la même page de ressources HTML pour inciter les victimes à accorder les privilèges des services d'accessibilité.

Un cheval de Troie en cours de fabrication

Mais Xenomorph est a priori différent d’Alien dans ses fonctionnalités et demeure à un stade précoce de développement. « Xenomorph semble en être à ses balbutiements, du fait que de nombreuses commandes sont présentes dans le code du malware, mais ne sont pas implémentées. En plus de cela, la grande quantité de journalisation utilisée suggère également qu'il pourrait s'agir d'un projet de logiciel malveillant en cours. », suppose ThreatFabric.

Reste que Xenomorph est tout de même opérationnel. Le principal vecteur d'attaque du malware est l'utilisation d'écrans de superposition afin de voler les informations d'identification, combinée à l'utilisation de SMS et à l'interception de notification afin de contourner les mécanismes d’authentification forte. Si le logiciel détecte l’ouverture d’une application bancaire, il va générer une page d’accueil imitant celui de la banque afin de subtiliser les identifiants. Un mode de fonctionnement bien connu.