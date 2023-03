Un de plus ! Un trojan a été détecté sur le Web récemment ; le petit dernier s’appelle Nexus et il en veut à votre compte en banque. Un malware puissant, qui s’en prend à des applications de premier plan, mais avec des méthodes plutôt étonnantes.

C’est le laboratoire CRIL, pour Cyble Research and Intelligence Labs, qui a découvert ce nouveau virus circulant sur le Net. Dans un article en date du 9 mars, les experts détaillent comment un nouveau trojan, Nexus Android Banking, infecte des appareils avec l’objectif de récupérer les données bancaires ainsi que les accès aux comptes en ligne.

Les banques prises pour cibles

Les chercheurs ont découvert ce malware très simplement. Sur un forum pirate russe, une publicité était diffusée pour un nouveau projet de trojan compatible avec Android, jusqu’à la version 13. Comme la plupart des malwares bancaires, cet outil est diffusé comme un « malware-as-a-Service », c’est-à-dire que le pirate paye pour un accès au trojan. Ici, pour 3000 $/mois, vous pouvez vous offrir un accès à Nexus. À vous de rentrer dans vos frais…

Une fois déployé, Nexus attaque l’appareil infecté avec la méthode de l’Overlay Attacks. Il s’agit d’un processus où le hacker fait apparaître une interface par-dessus une application Android saine. L’UI infectée va alors piéger l’utilisateur, en récupérant notamment les informations entrées sur l’écran. Les données sont alors connectées et envoyées au hacker via un serveur distant.

Pour information, ces attaques dites “Overlay” ne concernent que les smartphones Android, en utilisant la permission de l’OS SYSTEM_ALERT_WINDOWS, activée par défaut si une application est téléchargée via le Play Store. Un système parfait donc pour voler des données bancaires.

Un trojan qui ne cible pas certains pays

Fait surprenant, le trojan Nexus ne s’en prend pas à tous les pays. Ainsi, les experts italiens de Cleafy, une société de cybersécurité ayant mené une enquête sur ce virus, ont découvert un fait étonnant. L’exécutable contient des contraintes géographiques. Le malware va ainsi ignorer l’Azerbaïdjan, l’Arménie, la Biélorussie, le Kazakhstan, le Kirghizstan, la Moldavie, la Fédération de Russie, le Tadjikistan, l’Ouzbékistan, l’Ukraine et l’Indonésie. Un trojan très sélectif donc !

On le répète encore une fois : les malwares en tout genre circulent beaucoup sur le Web et votre smartphone est une cible de choix ! Soyez prudents dans vos téléchargements, équipez-vous d’un antivirus et contrôlez les URL sur lesquelles vous cliquez !