Un nouveau malware, Blackrock, capable de soutirer les mots de passes et codes de 337 applications

16 juillet 2020 à 11h50
16
© ThreatFabric
© ThreatFabric

Un nouveau type de malware est apparu dans l'univers Android. Baptisé BlackRock, il a été repéré en mai dernier par la société de cybersécurité ThreatFabric.

Selon l'enseigne, cette nouvelle menace est en mesure de dérober les données d'au moins 337 applications.

Un descendant de Lokibot

BlackRock est basé sur le code source d'autres logiciels à partir desquels il a évolué. Parmi ses prédécesseurs, il compte ainsi Xerxes ou Lokibot, l'un des malwares les plus courants il y a quelques années.

© ThreatFabric
© ThreatFabric

De cette « famille », BlackRock a repris le fonctionnement et amélioré les fonctionnalités visant à voler les données sensibles détenues par les applications, comme les mots de passe de leurs utilisateurs ou les informations de leurs cartes de crédit. Il fonctionne ainsi toujours sur le même principe que les logiciels précédents, mais peut cibler davantage d'applications.

Ce principe de fonctionnement, appelé « superposition » est déjà bien connu. Il consiste à détecter lorsqu'un utilisateur essaie d'interagir avec une application. Le malware affiche alors une fausse fenêtre par-dessus, collectant les informations de connexion et les données de carte bancaire entrées par la victime.

De nouvelles « surprises » attendues cette année

Dans son communiqué, ThreatFabric précise que les superpositions observées jusqu'à présent ont visé 337 applications. Parmi elles, on trouve essentiellement des applications financières ainsi que des réseaux sociaux ou d'autres logiciels de communication. La société cite ainsi des applications comme Microsoft Outlook, Gmail ou Paypal.

Néanmoins, la société ajoute avoir également observé des cas de piratage sur des applications de rencontres, de shopping ou même dédiées au développement personnel et à la productivité. Parmi eux se trouvent des noms comme Uber, Amazon ou Netflix. La liste complète est disponible sur le site de BlackRock.

ThreatFabric conclut sur une augmentation du nombre de malwares de type « Cheval de Troie », tout en soulignant que les nouveaux logiciels se démarquent par leurs nouvelles fonctionnalités. Sur son blog, la société déclare : « Comme indiqué dans notre blog 2020, il n'y a pas seulement plus de nouveaux chevaux de Troie bancaires sur Android, mais certains d'entre eux apportent également de nouvelles fonctionnalités. La plupart commencent à intégrer des fonctionnalités permettant aux criminels de prendre le contrôle à distance du périphérique infecté et parfois même d'exécuter automatiquement une fraude depuis ce périphérique ».

Elle ajoute : « La seconde moitié 2020 sera pleine de surprises. Après Alien, Eventbot et BlackRock, nous pouvons nous attendre à ce que des acteurs motivés par l'argent mettent au point de nouveaux chevaux de Troie bancaires et continuent d'améliorer les existants ».

Sources : ThreatFabric, ZDNet

Benoît Théry

Je veux tout savoir, et même le reste. Je me passionne pour le digital painting, la 3D, la plongée, l'artisanat, les fêtes médiévales... Du coup, j'ai toujours des apprentissages sur le feu. Actuellem...

Lire d'autres articles

Je veux tout savoir, et même le reste. Je me passionne pour le digital painting, la 3D, la plongée, l'artisanat, les fêtes médiévales... Du coup, j'ai toujours des apprentissages sur le feu. Actuellement, j'apprends à sourire sur mes photos de profil.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page

Sur le même sujet

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (16)

cirdan
BlackRock… Au moins, ils ne manquent pas d’humour.
Pernel
Des fans de Lost ?
Blap
Rien d’automatique donc il faut forcement que l’utilisateur remplisse les infos de lui meme ? Du genre les gestionnaires de mots de passes ne sont pas impactés ?
GRITI
anon16165080:<br /> Comment se propage t’il ?<br /> Je rejoins PierreKaiL. Dommage qu’il manque cette information. Est-ce en naviguant sur certains sites? En installant des applis? Si oui, lesquelles?<br /> Question pour les pros: est-ce qu’un pare-feu permet de se protéger de ce genre d’attaque vu que dès qu’une demande d’accès internet est détecté pour la première fois le pare-feu nous envoie une demande d’autorisation pour cet accès?
Sinic
ThreatFabric en dit plus sur le sujet (merci Google Trad) : «&nbsp;Lorsque le malware est lancé pour la première fois sur l’appareil, il commence par masquer son icône dans le tiroir de l’application, le rendant invisible pour l’utilisateur final. Dans un deuxième temps, il demande à la victime les privilèges du service d’accessibilité. Comme le montre la capture d’écran suivante, les plus grandes campagnes du cheval de Troie se présentent comme de fausses mises à jour Google: Une fois que l’utilisateur accorde le privilège de service d’accessibilité demandé, BlackRock commence par s’octroyer des autorisations supplémentaires. Ces autorisations supplémentaires sont nécessaires pour que le bot fonctionne pleinement sans avoir à interagir davantage avec la victime. Une fois terminé, le bot est fonctionnel et prêt à recevoir des commandes du serveur C2 et à exécuter les attaques par superposition.&nbsp;»
GRITI
@Sinic<br /> Merci pour ces précisions.<br /> Bon à priori pas trop de danger pour moi (je n’ai pas dit aucun ): pas de réseaux sociaux, pas de consultations bancaire/AMELI/mutuelle sur le smartphone, pas de paiement via le smartphone, 3 ou 4 applis max seulement installées chaque année, pas de compte Google.
Sinic
Nope, rien vu de tel chez ThreatFabric. Et quand je gratte un peu sur le Net, j’ai l’impression que la sécurité dépend davantage des concepteurs d’applis et des app stores en amont.
Pronimo
Par principe, je n’utilise jamais d’applications bancaires sur un smartphone surtout Android qui est trouée comme pas possible.<br /> Apres sur Windows (ou tout autre OS bureau pour être «&nbsp;inclusif&nbsp;»), sauf si on va sur des sites pirates pour choper des virus, keyloggers etc… un navigateur web a jours c’est bien plus safe qu’effectuer des opérations sensibles sur Smartphone.
Blap
Tellement troué qu’à ce jour on n’a encore trouvé de virus.<br /> Un bloqueur de pub est bien plus sécurisé surtout. En soit utiliser un smartphone pour faire des operations sensibles n’est pas moins sécurisé, probablement au contraire meme.
GRITI
De plus les utilisateurs installent bien moins de softs/applis sur un PC que sur leur smartphone.<br /> Et il n’ a pas que les virus qui peuvent poser un souci de sécurité:<br /> Clubic.com – 15 Oct 19<br /> Un nouveau malware repéré sur le Play Store : les 15 applis à désinstaller...<br /> Des chercheurs de SophosLabs ont découvert la présence d'un malware niché dans 15 applications Android publiées sur le Google Play Store. Plus d'1,3 million d'appareils auraient au moins installé l'une d'entre elles.<br /> Clubic.com – 2 Sep 19<br /> Kaspersky découvre un cheval de Troie dans l'appli Android CamScanner,...<br /> Très populaire, l'application CamScanner a été écartée de Google Play après la découverte d'un injecteur permettant d'insérer du code malveillant dans les smartphones.<br />
jaid76
des fans de ça plutôt : https://www.youtube.com/watch?v=0t0d3TPbLzI
Voir tous les messages sur le forum