Xenomorph : ce nouveau malware découvert sur Google Play Store s’attaque à vos données bancaires

Découvert ce mois-ci, le nouveu cheval de Troie bancaire, baptisé « Xenomorph », transite via le Play Store et aurait déjà été téléchargé par plus de 50 000 personnes.

Les Aliens débarquent-ils parmi nous ? C'est presque ça… ThreatFabric, société cyber néerlandaise spécialisée dans la lutte contre la criminalité informatique bancaire, a découvert un nouveau malware ces dernières semaines. Il prend la forme d'un cheval de Troie et se cache dans de fausses applications mobiles que l'on retrouve sur le Google Play Store, la boutique de la firme de Mountain View.

En apparence, une banale application de nettoyage de données

Nommé Xenomorph, en référence à un autre trojan bancaire lui-même baptisé Alien, duquel Xenomorph a récupéré certains paramètres, le logiciel malveillant se montre bien plus dangereux, en ce qu'il a dans un premier temps pu échapper aux radars de Google et Android. Son activité est déjà très importante et ses fonctionnalités sont différentes de son prédécesseur, certaines n'étant même pas encore implémentées.

Les chercheurs de ThreatFabric ont pu constater que Xenomorph s'est déployé sur plus de 50 000 appareils, appartenant à des propriétaires qui seraient visiblement des clients issus de 56 banques européennes différentes.

Ces 50 000 téléchargements sont à mettre au crédit d'une application - Fast Cleaner, depuis retirée du Play Store - dont les principales fonctionnalités permettent, sur le papier et du point de vue de l'utilisateur non averti, de procéder au nettoyage de son appareil et de le purger des données inutiles.

Un malware gourmand en accessibilité, qui œuvre par le biais de l'attaque par superposition

En réalité, cette application malveillante fait partie de la famille de droppers (ou injecteurs) Gymdrop, découverte quelques mois auparavant, grâce au déploiement de la charge utile Alien.A. Mais contrairement à ce qui se faisait du temps d'Alien.A, le serveur qui héberge le code malveillant contient aussi deux autres familles de malware, en plus d'Alien : ExobotCompact.D, régulièrement utilisé dans des campagnes malveillantes par le biais d'applications bancaires du Play Store, et le fameux Xenomorph, qui est tout nouveau.

Xenomorph fonctionne par le biais de l'attaque par superposition. Le malware demande des autorisations pour les services d'accessibilité (toujours se méfier d'une application qui demande un contrôle total sur votre smartphone !), en ouvrant une page web par-dessus l'application qui trompe l'utilisateur, qui entre ses identifiants, alors dérobés par le malware, sans possibilité de se rendre compte qu'il navigue en réalité sur un faux écran de connexion à son application bancaire.

Plus grave encore, Xenomorph détient la capacité d'intercepter les notifications et SMS de double authentification, censés livrer des codes à usage unique. Une fois que le trojan est opérationnel, ses services en arrière-plan reçoivent des événements d'accessibilité dès lors que l'utilisateur fait une action sur l'appareil. Si l'application qu'il ouvre fait partie de la liste de Xenomorph, alors l'injection de superposition s'opère de nouveau, et l'utilisateur communiquera alors ses identifiants au hacker.

Décrit comme étant « évolutif et actualisable », Xenomorph a de quoi inquiéter, d'autant plus qu'il n'en est qu'à ses balbutiements. Son code est conçu de façon à ce qu'il puisse supporter bien d'autres fonctionnalités à l'avenir. Pour l'heure, l'Espagne, l'Italie, la Belgique et le Portugal font partie de ses cibles prioritaires. Mais il touche aussi des services de messagerie électronique et des portefeuilles de cryptomonnaie.

Source : ThreatFabric