Les chercheurs en cybersécurité de Zimperium indiquent avoir découvert Hook v3, nouvelle version d'un malware Android spécialisé dans le vol bancaire. Avec 107 commandes, dont des dizaines inédites, le cheval de Troie s'annonce assez redoutable.
Imaginez un logiciel malveillant capable de transformer votre smartphone en vraie marionnette numérique. C'est exactement ce dont est capable Hook v3, la dernière évolution d'un célèbre virus Android. Les experts de Zimperium nous expliquent ce mercredi 27 août avoir découvert une nouvelle version du cheval de Troie, qui mélange allègrement les genres : un peu de ransomware par-ci, une pincée d'espionnage par-là, le tout saupoudré de techniques bancaires sophistiquées qui n'ont hélas qu'un seul but, celui de vider vos comptes.
Avec Hook v3, les pirates disposent d'un arsenal technologique qui fait froid dans le dos
Hook v3 embarque 107 commandes différentes, dont 38 flambant neuves. Pour comprendre l'ampleur de la menace, on peut s'imaginer cette fois un cambrioleur qui aurait dans les mains 107 outils différents pour pénétrer chez vous. Sauf qu'ici, c'est votre téléphone qui est visé, et les pirates opèrent à distance depuis l'autre bout du monde.
La nouveauté la plus inquiétante ? Des écrans de rançon façon ransomware. Ici, le malware peut afficher un message menaçant en plein écran, qui lui permet d'exiger un paiement en cryptomonnaie. L'adresse du portefeuille Bitcoin et le montant sont automatiquement récupérés depuis les serveurs des pirates. Il est alors impossible de fermer cet écran sans payer... ou sans connaître la commande secrète « delete_ransome », que seuls les attaquants possèdent.
Hook v3 excelle également dans l'art du déguisement. Il crée de faux écrans de paiement NFC parfaitement crédibles, imite Google Pay ou votre application bancaire. Ces overlays, ces écrans pirates superposés aux vraies applications, capturent vos données bancaires pendant que vous pensez utiliser un service légitime. La victime tape son code de carte bleue, en pensant payer ses courses Elle envoie en réalité ses informations directement aux cybercriminels.
GitHub transformé en supermarché du cybercrime
Les pirates de Hook v3 ont trouvé plus malin que les obscurs sites web russes d'il fut un temps, pour télécharger des virus. Désormais, ils utilisent GitHub, la plateforme préférée des développeurs. C'est un peu comme si des trafiquants vendaient leur marchandise sur Amazon, c'est à la fois brillant mais terriblement efficace.
Tout cela pose un casse-tête aux antivirus. Comment bloquer GitHub sans paralyser le travail de millions de programmeurs honnêtes ? Les criminels créent des comptes, déposent leurs fichiers infectés, partagent les liens sur des forums, puis effacent tout avant de recommencer ailleurs. Un jeu du chat et de la souris où ce sont les souris qui ont pris une sérieuse avance.
Zimperium a bien tenté de faire le ménage en collaboration avec GitHub, réussissant à faire supprimer plusieurs dépôts malveillants. Problème : pour chaque dépôt supprimé, trois nouveaux apparaissent. Les pirates ont même automatisé ce processus, rendant l'éradication quasi impossible. D'autres familles de virus comme Ermac ou Brokewell utilisent désormais la même technique.
Des indices révélateurs d'un futur encore plus sombre
En fouillant dans le code, les chercheurs ont fait des découvertes troublantes. Première surprise, ils ont retrouvé des références à RabbitMQ, un système professionnel de messagerie habituellement utilisé par Netflix ou Uber. Bien qu'inactive pour l'instant, cette fonctionnalité suggère que les pirates préparent une infrastructure digne d'une vraie entreprise tech, mais dédiée au crime.
Autre découverte : des bouts de code liés à Telegram. Les cybercriminels semblent vouloir utiliser cette messagerie chiffrée pour communiquer avec leurs virus. On imagine qu'au lieu d'utiliser des serveurs facilement repérables, Hook v3 pourrait bientôt discuter avec ses maîtres via une application que vous utilisez peut-être quotidiennement.
Et le malware ne se contente plus de voler. Il peut désormais enregistrer vos conversations téléphoniques, prendre des photos avec votre caméra frontale sans que vous le sachiez, et même passer des appels à votre insu. Ces fonctionnalités transforment ce qui était un simple voleur bancaire en véritable outil d'espionnage complet. La frontière entre cheval de Troie bancaire, logciel espion et rançongiciel devient complètement floue.
