Les malwares sont un peu la chasse gardée des esprits maléfiques qui se torturent l’esprit jour et nuit pour trouver de nouvelles manières d’arriver à leur fin. Laquelle ? Siphonner vos euros qui semblent pourtant bien gardés dans des coffres numériques que l’on pourrait croire moins faciles à ouvrir que leurs homologues physiques, mais ce n’est finalement pas vraiment le cas. Plus le temps passe, et plus on se dit même que c’est tout le contraire. Escobar, dernier venu de la scène hacking, nous le confirme encore aujourd’hui.
Escobar : le roi de la poudre aux yeux
Le site BleepingComputer a en effet annoncé la découverte d’un nouveau virus qui pollue les appareils tournant sous Android. Il est proposé sur le darkweb depuis février 2022 sur un forum de hackers en langue russe par HisExcellency, un développeur réputé du milieu.
Dénommé Escobar, il n’est pas 100% nouveau puisqu’il s’agit d’une version améliorée de Aberebot, un Cheval de Troie ravageur déjà œuvre du pirate sus-cité. Ce dernier permettait dès lors de purger vos comptes bancaires mais son petit frère fait encore mieux, rajoutant quelques fonctionnalités bien senties. Il permet par exemple de prendre le contrôle de votre appareil à distance grâce à un VNC (Virtual Network Computing). Lorsque votre terminal est infecté, le virus peut afficher un faux écran d’identification qui se superpose sur le vrai quand vous utilisez une application bancaire afin de vous voler justement vos identifiants.
Le malware a accès à 25 permissions en tout, dont 15 peuvent lui servir à des fins criminelles sur plus de 190 institutions financières. L’enregistrement audio et la prise de photo sont possibles, tout comme la lecture et l’envoi de SMS, la lecture de ce qui est stocké dans la mémoire du téléphone, la capture d’écran, passer des appels, désactiver le verrouillage et avoir accès à votre géolocalisation. La liste des possibilités commence déjà à être bien longue, mais Escobar pousse le vice encore plus loin. Le Trojan peut en effet voler les codes d’authentification multi-facteurs que génère l’application Google Authenticator. Ces derniers arrivent par SMS ou sont stockés justement dans ce genre de logiciels internes. Le malware se sert donc d’un serveur C2 pour uploader tout ce qu’il collecte lors de son raid malveillant.
Arnaque à louer
HisExcellency, au moment de son annonce le mois dernier, proposait son malware à la location à 5 clients pour la modique somme de 3 000$/mois avant que le prix ne grimpe à 5 000 une fois le développement terminé. Autant dire que c’est un budget très élevé qui ne s’adresse pas à tout le monde. Néanmoins, Escobar a été trouvé dans de fausses versions de McAfee sur les stores alternatifs d’applications, ce qui montre que le prix n’a pas refroidi tout le monde.
Possible interesting, very low detected "McAfee9412.apk": a9d1561ed0d23a5473d68069337e2f8e7862f7b72b74251eb63ccc883ba9459f
From: https://cdn.discordapp[.]com/attachments/900818589068689461/948690034867986462/McAfee9412.apk
"com.escobar.pablo"
😂 pic.twitter.com/QR89LV4jat— MalwareHunterTeam (@malwrhunterteam) March 3, 2022
Pour l’instant, le Cheval de Troie a été recensé dans 18 pays à travers le monde mais n’a pas réussi à s’implanter sur le Play Store officiel. Nous vous recommandons, comme à chaque fois, de privilégier fortement ce dernier pour télécharger des applications. Même si certains virus arrivent parfois à passer entre les mailles du filet de la protection des experts de chez Google, les risques sont quand même moindres et les menaces rapidement sous contrôle.
