MysteryBot : Le nouveau malware Android qui fusionne keylogger, ransomware et cheval de Troie bancaire

Le malware Android MysteryBot cible les applications bancaires

Des chercheurs en sécurité de ThreatFabric ont découvert une forme expérimentale de malware Android qui est encore en cours de développement. Selon les chercheurs, le nouveau malware mélange les caractéristiques d’un cheval de Troie bancaire, d’un keylogger et d’un ransomware qui cible les appareils Android fonctionnant sous 7.0 ou 8.0.

Surnommé MysteryBot, ce malware présente des similitudes frappantes avec l’infâme LokiBot qui a semé le chaos l’année dernière, bien qu’avec de nouvelles fonctionnalités astucieuses. Cela signifie qu’il est probable qu’il ait été développé par le même développeur de malware. Initialement considéré comme une version révisée de LokiBot, les chercheurs ont découvert que le malware avait beaucoup plus à offrir.

« Lors de l’enquête sur son activité réseau, nous avons découvert que MysteryBot et LokiBot, le banquier Android, fonctionnent tous deux sur le même serveur C&C [command and control]. Cela nous a rapidement amenés à une conclusion précoce selon laquelle ce malware nouvellement découvert est soit une mise à jour de LokiBot, soit un autre cheval de Troie bancaire développé par le même acteur », a déclaré ThreatFabric dans un article de blog.

MysteryBot présente des capacités exceptionnelles, prenant le contrôle complet de l’appareil affecté. Il est capable d’effectuer diverses activités malveillantes, telles que passer des appels téléphoniques, voler des informations de contact, copier des messages texte, transférer des appels entrants vers un autre appareil et fonctionner comme un keylogger. Il peut également chiffrer tous les fichiers de l’appareil dans le stockage externe et supprimer toutes les informations de contact sur l’appareil.

Le malware pénètre dans l’appareil en se déguisant en application Adobe Flash Player pour Android. « En général, le consommateur doit être conscient que toutes les soi-disant ‘applications Flash Player (mise à jour)’ qui peuvent être trouvées dans et en dehors des différents magasins d’applications sont des malwares », a déclaré ThreatFabric à Bleeping Computer.

« De nombreux sites Web exigent encore que les visiteurs aient le support de Flash (qui n’est pas disponible sur Android depuis de nombreuses années), ce qui pousse les utilisateurs Android à essayer de trouver une application qui leur permettra d’utiliser ce site Web », a ajouté le porte-parole. « En fin de compte, ils finiront simplement par installer un malware. »

Expliquant davantage, les chercheurs ont déclaré : « Une nouvelle technique a été conçue et est actuellement utilisée, elle abuse de la permission PACKAGE_USAGE_STATS d’Android (communément appelée permission d’accès à l’utilisation). Le code de MysteryBot a été consolidé avec la technique dite PACKAGE_USAGE_STATS. Comme l’abus de ces permissions Android nécessite que la victime fournisse les permissions d’utilisation, MysteryBot utilise le populaire AccessibilityService, permettant au Trojan d’activer et d’abuser de toute permission requise sans le consentement de la victime. »

L’objectif principal du malware MysteryBot est apparemment de cibler les applications bancaires, bien que le malware puisse faire bien plus que cela. MysteryBot peut effectuer des activités bancaires mobiles sous un déguisement légal sans la connaissance ou le consentement de la victime, rendant difficile pour les institutions financières d’identifier les activités malveillantes.

Bien que MysteryBot ne soit actuellement pas en circulation, LokiBot a été précédemment diffusé via des SMS de spam (smishing) et des e-mails (phishing) contenant des liens vers une application Android, a déclaré ThreatFabric à Bleeping Computer.

Il est conseillé aux utilisateurs, afin de garder leur appareil en sécurité, d’installer des applications Android uniquement depuis le Google Play Store et non d’autres sources. Il est également important de savoir qu’ils téléchargent depuis le Play Store.

« Il y a encore de nombreux dropper sur le Google Play Store car cela semble être un moyen de distribution efficace », a déclaré ThreatFabric. « Cependant, la plupart des chevaux de Troie bancaires Android semblent être distribués via smishing/phishing et chargement latéral. »

Source : Bleeping Computer