Un nouveau cheval de Troie bancaire cible les européens. Baptisé DoubleTrouble, celui-ci déploie des méthodes d’infiltration et de vol de données particulièrement complexes.
Repéré par le cabinet de Zimperium, DoubleTrouble se distingue de plusieurs manières. D'une part, il est capable de multiplier ses modes de diffusion, d'autre part, il a été conçu pour subtiliser un large éventail de données sensibles à grande échelle. Ce malware cible principalement les utilisateurs Android et exploite aussi des stratégies d’ingénierie sociale contourner la vigilance des utilisateurs et des outils de sécurité.
Évolution des vecteurs d’attaque et dissimulation technique
DoubleTrouble était initialement diffusé à travers des sites de phishing qui imitaient les interfaces de banques européennes. Récemment, les auteurs du malware ont changé d’approche : ils déposent désormais les fichiers APK malveillants directement sur des canaux Discord. Bien évidemment, l'idée est de rendre encore plus difficile la détection par les solutions de sécurité classiques.
En apparence, cette application malveillante se fait passer pour une extension ou d’un add-on Google Play légitime avec des icônes officielles. L’installation impose rapidement l’activation des services d’accessibilité Android, condition essentielle pour permettre au malware d’exécuter ses fonctions en arrière-plan. DoubleTrouble masque son code avec des méthodes et des classes portant des combinaisons de mots aléatoires. L'objectif ici est de rendre toute analyse bien plus compliquée pour les spécialistes en cybersécurité.
Le cœur de la stratégie repose sur une méthode d’installation dite "session-based". Le véritable code malveillant est caché dans le dossier interne de l’application (resources/raw) ; il n’est activé qu’après la validation des permissions. De la sorte, le malware échappe ainsi aux contrôles des antivirus et des outils d’analyse au moment de l’installation.
Fonctionnalités avancées : prise de contrôle, espionnage et vol de données
Une fois activé, DoubleTrouble ne cible qu'une chose : le compte bancaire de la victime. Et cela va au-delà du simple vol d’identifiants. Il exploite les services d’accessibilité pour simuler des interactions utilisateur, ouvrant, fermant ou bloquant des applications – notamment les apps bancaires ou celles liées à la sécurité. Le malware déploie des couches factices ("overlays"), copiant les écrans d’authentification pour capturer mots de passe, codes PIN, schémas de déverrouillage ou identifiants à usage unique.
Le logiciel malveillant intègre un enregistreur de frappes (keylogger) qui intercepte et enregistre chaque action de l’utilisateur, et bien sûr, les mots de passe saisis à l’écran. Il est également en mesure d'enregistrer tout ce qu'il se passe à l'écran. DoubleTrouble sollicite la permission de capture via les API MediaProjection et VirtualDisplay. Cela lui permet de créer en toute discrétion une image fidèle et en temps réel de l’intégralité des actions de l’utilisateur. Les images sont ensuite converties en fichiers JPEG puis encodées avant d'être exfiltrées vers les serveurs des assaillants.
Côté serveur, le hackeur peut envoyer plusieurs actions : simuler des interactions tactiles, injecter du contenu HTML personnalisé pour le phishing, placer un écran noir ou une fausse mise à jour afin de masquer l’activité malveillante, ou encore afficher des notifications frauduleuses. Autant dire qu'il manipule complètement le smartphone de la victime. Et cela lui permet de passer outre l’authentification à double facteur ou les mesures de protection classiques.
Les recherches de Ziperium permettront aux éditeurs de solution de sécurité de mettre à jour leurs bases de données virale. Bien entendu, au regard de la complexité de ce cheval de Troie, il est conseillé d'installer un antivirus.
