Xenomorph : ce nouveau malware découvert sur Google Play Store s’attaque à vos données bancaires

24 février 2022 à 15h50
7
Xenomorph © ThreatFabric
© ThreatFabric

Découvert ce mois-ci, le nouveu cheval de Troie bancaire, baptisé « Xenomorph », transite via le Play Store et aurait déjà été téléchargé par plus de 50 000 personnes.

Les Aliens débarquent-ils parmi nous ? C'est presque ça… ThreatFabric, société cyber néerlandaise spécialisée dans la lutte contre la criminalité informatique bancaire, a découvert un nouveau malware ces dernières semaines. Il prend la forme d'un cheval de Troie et se cache dans de fausses applications mobiles que l'on retrouve sur le Google Play Store, la boutique de la firme de Mountain View.

En apparence, une banale application de nettoyage de données

Nommé Xenomorph, en référence à un autre trojan bancaire lui-même baptisé Alien, duquel Xenomorph a récupéré certains paramètres, le logiciel malveillant se montre bien plus dangereux, en ce qu'il a dans un premier temps pu échapper aux radars de Google et Android. Son activité est déjà très importante et ses fonctionnalités sont différentes de son prédécesseur, certaines n'étant même pas encore implémentées.

Les chercheurs de ThreatFabric ont pu constater que Xenomorph s'est déployé sur plus de 50 000 appareils, appartenant à des propriétaires qui seraient visiblement des clients issus de 56 banques européennes différentes.

Ces 50 000 téléchargements sont à mettre au crédit d'une application - Fast Cleaner, depuis retirée du Play Store - dont les principales fonctionnalités permettent, sur le papier et du point de vue de l'utilisateur non averti, de procéder au nettoyage de son appareil et de le purger des données inutiles.

Un malware gourmand en accessibilité, qui œuvre par le biais de l'attaque par superposition

En réalité, cette application malveillante fait partie de la famille de droppers (ou injecteurs) Gymdrop, découverte quelques mois auparavant, grâce au déploiement de la charge utile Alien.A. Mais contrairement à ce qui se faisait du temps d'Alien.A, le serveur qui héberge le code malveillant contient aussi deux autres familles de malware, en plus d'Alien : ExobotCompact.D, régulièrement utilisé dans des campagnes malveillantes par le biais d'applications bancaires du Play Store, et le fameux Xenomorph, qui est tout nouveau.

Xenomorph fonctionne par le biais de l'attaque par superposition. Le malware demande des autorisations pour les services d'accessibilité (toujours se méfier d'une application qui demande un contrôle total sur votre smartphone !), en ouvrant une page web par-dessus l'application qui trompe l'utilisateur, qui entre ses identifiants, alors dérobés par le malware, sans possibilité de se rendre compte qu'il navigue en réalité sur un faux écran de connexion à son application bancaire.

Plus grave encore, Xenomorph détient la capacité d'intercepter les notifications et SMS de double authentification, censés livrer des codes à usage unique. Une fois que le trojan est opérationnel, ses services en arrière-plan reçoivent des événements d'accessibilité dès lors que l'utilisateur fait une action sur l'appareil. Si l'application qu'il ouvre fait partie de la liste de Xenomorph, alors l'injection de superposition s'opère de nouveau, et l'utilisateur communiquera alors ses identifiants au hacker.

Xenomorph accessibilité © ThreatFabric
Xenomorph se révèle particulièrement gourmand en termes d'accès, ce qui peut mettre la puce à l'oreille (© ThreatFabric)

Décrit comme étant « évolutif et actualisable », Xenomorph a de quoi inquiéter, d'autant plus qu'il n'en est qu'à ses balbutiements. Son code est conçu de façon à ce qu'il puisse supporter bien d'autres fonctionnalités à l'avenir. Pour l'heure, l'Espagne, l'Italie, la Belgique et le Portugal font partie de ses cibles prioritaires. Mais il touche aussi des services de messagerie électronique et des portefeuilles de cryptomonnaie.

Source : ThreatFabric

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
7
8
Felaz
Encore un…
cid1
Google devrait mettre un test en place qui définit ce que fait une app. sur un smartphone, si le smartphone est infecté paf, retrait de l’app. le mieux serait même de faire ce test avant de mettre l’app. à disposition.
fmwm
Le store F-droid, par exemple, compile les applications à partir du code source. Donc a priori, ils peuvent détecter du code malicieux, trop invasif, trop suspect, si j’ai bien compris (d’où le retard de mise à disposition).<br /> Apparemment, le Play store retire les applications une fois que les dommages sont rapportés : c’est nous les testeurs (et en plus on paye au lieu d’être payés) en fait, avec nos données réelles et parfois vitales !
bmustang
il faut vraiment avoir rien dans le citron pour installer une chose pareil, c’est sans doute des utilisateurs qui installent presque tout du store et n’importe quoi !?
Gh0st_D0g
La faute est plutôt à remettre sur Google, qui ne devrait pas laisser passer ce genre de chose. Beaucoup d’utilisateurs d’appareils Android sont novices et ne devraient pas à avoir à se soucier de ce genre de problème.
Popoulo
C’est l’utilisateur qui est un gros teubé d’installer ce genre d’app sachant que la fonction existe déjà à la base.<br /> De plus quand on voit la demande d’autorisations… Et y en a qui les approuvent ? lol.
max_971
Est-ce que les applis anti-malware peuvent le détecter ?
Voir tous les messages sur le forum

Derniers actualités

Équipez-vous d'un excellent micro avec le Elgato Wave:1 en promo folle chez Amazon !
NVIDIA cache des RTX 4090 personalisées Cyberpunk dans le jeu : une première !
Ce pack contentant la Xbox Series S et FIFA 23 édition Ultimate Team est à prix canon !
Ce cockpit de simulation racing est à son prix le plus bas chez Amazon !
Moins de 30€ pour se SSD PNY de 480Go
Face à Twitter, Elon Musk va devoir témoigner sous serment : que va dire le milliardaire ?
Ajoutez le Bluetooth à votre PC grâce à cette clé USB vendue une bouchée de pain
Des employés moins productifs en télétravail ? Le P.-D.G. de Microsoft remet les patrons à leur place
The Last of Us : HBO dévoile un premier vrai aperçu de sa série
Netflix veut son propre studio de jeux vidéo
Haut de page