Les logiciels malveillants Android peuvent réinitialiser les téléphones aux paramètres d’usine après la vidange des comptes bancaires

Getty Images

Le cheval de Troie de fraude bancaire qui cible les utilisateurs d’Android depuis trois ans a été mis à jour pour causer encore plus de chagrin. En plus de vider les comptes bancaires, le cheval de Troie peut désormais activer un kill switch qui effectue une réinitialisation d’usine et efface les appareils infectés.

Brata a été documenté pour la première fois en Poster De la société de sécurité Kaspersky, qui a signalé la propagation de logiciels malveillants Android depuis au moins janvier 2019. Le logiciel malveillant s’est propagé principalement via Google Play, mais également via des marchés tiers, des notifications push sur des sites Web piratés, des liens sponsorisés sur Google et des messages envoyés par WhatsApp ou SMS. À l’époque, Prata ciblait les personnes possédant des comptes dans des banques basées au Brésil.

couvrir leurs traces malveillantes

Brata est maintenant de retour avec une multitude de nouvelles fonctionnalités, dont la principale est la possibilité d’effectuer une réinitialisation d’usine sur les appareils infectés pour effacer toute trace de malware après une tentative de virement bancaire non autorisée. société de sécurité Cleafy Labs qui J’ai d’abord signalé la clé de verrouillageD’autres fonctionnalités récemment ajoutées à Brata, a-t-il déclaré, incluent le suivi GPS, une connectivité améliorée pour contrôler les serveurs, la possibilité de surveiller en permanence les applications bancaires des victimes et la possibilité de cibler des comptes bancaires situés dans d’autres pays. Le cheval de Troie fonctionne désormais avec des banques situées en Europe, aux États-Unis et en Amérique latine.

READ  Sony «renforce» PlayStation Now en essayant d'atteindre 1 milliard de personnes

« Détecté pour la première fois ciblant les utilisateurs brésiliens d’Android en 2019 par Kaspersky, le cheval de Troie d’accès à distance (RAT) a été mis à jour, ciblant davantage de victimes potentielles et ajoutant un kill switch au mélange pour couvrir ses chemins malveillants », ont déclaré des chercheurs de la société de sécurité Zimperium dans un rapport. . Poster Confirmation des découvertes de Cliffy. « Une fois que le malware est infecté et effectue avec succès un virement bancaire depuis l’application bancaire de la victime, il forcera une réinitialisation d’usine sur l’appareil de la victime. »

Cette fois, il n’y a aucune preuve de propagation de logiciels malveillants via Google Play ou d’autres magasins Android officiels. Au lieu de cela, l’application Brata se propage par le biais de messages texte de phishing déguisés en alertes bancaires. Les nouvelles capacités sont commercialisées dans au moins trois variantes, qui étaient toutes presque complètement inconnues jusqu’à ce que Cleafy les découvre pour la première fois. L’intrusion est au moins en partie le résultat d’un nouvel outil de téléchargement utilisé pour distribuer des applications.

En plus du kill switch, Brata demande maintenant l’autorisation d’accéder aux emplacements des appareils infectés. Alors que les chercheurs de Cleafy ont déclaré n’avoir trouvé aucune preuve dans le code que Brata utilise le suivi de localisation, ils ont émis l’hypothèse que les futures versions du logiciel malveillant pourraient commencer à tirer parti de cette fonctionnalité.

Le malware a également été mis à jour pour maintenir une connexion permanente au serveur de contrôle et de commande de l’attaquant (ou C2) en temps réel à l’aide de prise internet.

READ  Speedrunner bat Pokémon Shining Pearl en moins d'une heure

Comme le montre la figure 17 [below]Le protocole webSocket est utilisé par C2 qui envoie des commandes spécifiques qui doivent être exécutées sur le téléphone (par exemple whoami, byebye_format, screen_capture, etc.), écrivent les chercheurs de Cleafy. « Pour autant que nous le sachions, le logiciel malveillant (du point de vue de la connectivité) est la plupart du temps dans un état d’attente, jusqu’à ce qu’il émette des commandes C2 qui dirigent l’application vers l’étape suivante. »

Cliffy Labs

Les nouvelles fonctionnalités mettent l’accent sur le comportement en constante évolution des applications logicielles criminelles et d’autres types de logiciels malveillants alors que leurs auteurs cherchent à accroître la portée et les revenus des applications qu’ils génèrent. Les utilisateurs de téléphones Android doivent se méfier des logiciels malveillants en limitant le nombre d’applications qu’ils installent, en s’assurant que les applications proviennent uniquement de sources fiables et en installant rapidement les mises à jour de sécurité.

LEAVE A REPLY

Please enter your comment!
Please enter your name here