Medusa et FluBot : des applis bidons à l’assaut de vos comptes bancaires ?

Des chevaux de Troie planqués dans une fausse application au format APK qui permettront aux pirates à l’œuvre de siphonner vos comptes bancaires.

Son nom est connu depuis juillet 2020. Le trojan (cheval de Troie) bancaire Medusa fait à nouveau parler de lui suite à la publication d’une étude de ThreatFabric, repérée par le site Presse-Citron. En bref, il s’agit d’un programme informatique qui se cache derrière une fausse application au format APK, et qui, une fois téléchargé, permet aux pirates qui sont à l’œuvre de siphonner vos comptes bancaires.

Attention aux fichiers APK

Le système d’exploitation Android laisse la possibilité à ses utilisateurs de s’émanciper du Google Play Store pour aller farfouiller sur Internet et y trouver d’autres applications. Là, chacun peut trouver les petites boites numériques que sont les APK (Android Package, équivalent des EXE de Windows), qui contiennent en fait l’ensemble des fichiers nécessaires à l’installation d’une application. Seulement, en dehors du Play Store, ces derniers ne sont pas toujours sécurisés et peuvent contenir des fichiers malveillants.

C’est là-dessus que misent les trojans bancaires tels que « Medusa » ou « FluBot », qui se sont beaucoup perfectionnés depuis qu’ils ont été repérés pour la première fois.

Comment fonctionnent les malware bancaires ?

« Medusa » se cache dans de faux fichiers APK qui semblent être des applications, avec des noms comme « DHL » ou « Flash Player ». Une fois que vous êtes tombés dans le piège, ce malware aura la possibilité de siphonner vos comptes bancaires en abusant des permissions d’accessibilité de vos autres applications. Cela est grandement facilité grâce à ses dernières mises à jour, qui l’ont armé d’une capacité de « semi-ats » ou « système de transfert automatisé », alimenté par un « moteur de script d’accessibilité ». Ce système exploite le service d’accessibilité d’Android pour permettre aux attaquants de prendre le contrôle des applications et d’effectuer des actions sur l’appareil d’une victime. Par conséquent, le smartphone de la victime peut à la fois être surveillé et contrôlé par un attaquant externe.

Mais ce n’est pas tout, « Medusa présente d’autres fonctionnalités dangereuses telles que l’enregistrement des touches, l’enregistrement des événements d’accessibilité et le streaming audio et vidéo. Toutes ces capacités permettent d’avoir un accès presque total à l’appareil de la victime »
peut-on aussi lire dans l’étude de ThreatFabric.

Côté « FluBot », qui se propage de la même manière que « Medusa », ou à travers des liens WhatsApp, c’est le nouveau système de réponse automatique des smartphones Android qui est exploité. Les auteurs de ThreatFabric expliquent qu’« avec cette fonctionnalité, le malware peut utiliser une liste de réponses aux notifications tirées du serveur et centre de contrôle des pirates ». En d’autres termes, le pirate peut confirmer des transactions bancaires en répondant au nom de la victime.

Une épidémie de virus informatiques

ThreatFabric assure que 1 784 appareils ont été infectés avec succès par « Medusa », en seulement 24 jours. Alors qu’il était le plus souvent repéré en Turquie, il s’est aujourd’hui répandu jusqu’aux États-Unis et au Canada. L’étude confirme aussi que 27 applications bancaires américaines, 17 applications bancaires espagnoles et 15 applications bancaires turques ont été ciblées par ces campagnes.

Il convient donc, si vous ne voulez pas être ennuyés par ce genre de malware, de faire attention à ce que vous téléchargez, le plus simple étant de s’en tenir au catalogue du Google Play Store et de désinstaller les applications téléchargées en dehors de ce dernier dès que possible.

À lire également : Sécurité, anonymat… Comment changer son adresse IP ?

Laisser un commentaire