Ce méchant malware Android vole vos mots de passe – ce que vous devez savoir [Update]
MISE À JOUR : Après la publication de cette histoire le 2 mars, Google a supprimé l’application contenant TeaBot de la boutique d’applications Google Play Android.
Deux autres chevaux de Troie bancaires Android sont apparus dans le Google Play Store, rapportent des chercheurs en sécurité.
Une application malveillante a été téléchargée plus de 50 000 fois avant d’être expulsée de Google Play la semaine dernière, tandis que la deuxième application appelée QR Code & Code-barres – Scanner était incroyablement encore dans Google Play au moment d’écrire ces lignes et cible les utilisateurs américains.
La première application, appelée Fast Cleaner, indique qu’elle vise à « accélérer l’appareil en supprimant l’encombrement inutilisé et en supprimant les blocs d’optimisation de la batterie », selon un rapport publié la semaine dernière par la société de sécurité ThreatFabric.
Fast Cleaner fonctionne comme promis, mais il contient également un compte-gouttes, qui est un logiciel malveillant conçu pour installer secrètement d’autres programmes sur un appareil à l’insu de l’utilisateur. Selon l’analyse de ThreatFabric, la charge utile principale de Fast Cleaner était un nouveau type de cheval de Troie bancaire que ThreatFabric a appelé « Xenomorph » d’après le protagoniste affamé de la série de films Alien.
Xenomorph utilise des superpositions d’écran pour inciter l’utilisateur à taper des noms d’utilisateur et des mots de passe, collecte des informations sur les appareils infectés et lit les messages texte des utilisateurs. Grâce à ces pouvoirs, il peut capturer les identifiants de connexion pour les comptes bancaires et de messagerie Web. Il peut également capturer et masquer les codes PIN temporaires utilisés dans l’authentification à deux facteurs, ainsi que d’autres notifications, envoyées par SMS à votre téléphone.
ThreatFabric a démonté le code de Xenomorph et a découvert qu’il pouvait générer de faux écrans convaincants ressemblant à près de 60 applications différentes créées par des banques en Belgique, en Italie, au Portugal et en Espagne. Il pourrait également falsifier (et voler les identifiants destinés) aux applications Gmail, Google Play, Hotmail, Mail.com, Microsoft Outlook, PayPal et Yahoo Mail.
Retour importun
L’autre cheval de Troie bancaire Android, TeaBot, est mieux connu et a fait son retour sur Google Play le mois dernier après avoir été expulsé, rapporte la société de sécurité italienne Cleafy.
TeaBot peut capturer non seulement les identifiants de connexion pour les comptes bancaires, la messagerie Web et les réseaux sociaux, mais également attraper des codes d’authentification à deux facteurs destinés à empêcher les malfaiteurs de se connecter avec des mots de passe volés.
Malgré le rapport de Cleafy, le malware est toujours dans Google Play sous la forme d’une application appelée « QR Code & Barcode – Scanner », bien qu’il existe de nombreuses applications avec des noms et des fonctions similaires. Il a été téléchargé plus de 10 000 fois et est accompagné de plusieurs avis d’utilisateurs, dont la moitié attribuent cinq étoiles à l’application. (Suite à la publication de cette histoire, l’application a été supprimée.)
Comme Fast Cleaner, QR Code & Barcode – Scanner est un compte-gouttes qui échappe aux mécanismes de filtrage de Google Play en ne faisant rien de malveillant après son installation, du moins pendant un certain temps.
Mais finalement, rapporte Cleafy, il demande la permission de l’utilisateur d’installer un « module complémentaire » qui oblige l’utilisateur à autoriser le téléchargement de logiciels à partir d’une source inconnue – qui se trouve être le cheval de Troie bancaire TeaBot.
Mauvais mouvement! Vous inciter à autoriser des sources inconnues est la façon dont les méchants vous attrapent. De plus, une fois le « module complémentaire » malveillant installé, il abuse des paramètres d’accessibilité d’Android (destinés aux utilisateurs aveugles ou sourds) pour prendre le contrôle de l’écran du téléphone, interagir avec d’autres applications et intercepter les messages texte.
Cela signifie que, comme Xenomorph, TeaBot peut capturer non seulement les identifiants de connexion pour les comptes bancaires, la messagerie Web, les médias sociaux et d’autres comptes sensibles, mais également attraper les codes d’authentification à deux facteurs envoyés par SMS ou générés qui sont destinés à empêcher les méchants de se connecter. avec des mots de passe volés.
TeaBot ciblait à l’origine les banques en Espagne, en Allemagne et en Italie lors de sa première apparition à la mi-2021, a noté Cleafy, mais le malware a déployé ses ailes et se concentre désormais sur les États-Unis.
Comment repérer, éviter et supprimer les applications Android malveillantes
Naturellement, vous voudrez vous assurer de ne télécharger aucune de ces applications malveillantes à partir de Google Play ou d’un magasin d’applications Android « hors route ». Vous voudrez également désinstaller l’un ou l’autre de vos appareils s’ils sont installés.
Les applications Android partagent souvent des noms similaires ou identiques, mais une chose qu’elles ne peuvent pas partager est leur nom de package unique, qui permet à Android et Google Play de distinguer les applications.
Code QR et code-barres – Le nom du package du scanner est « com.scanner.buratoscanner ». Fast Cleaner utilise quatre noms de package : « com.census.turkey », « com.laundry.vessel », « com.tip.equip » et « com.spike.old ».
Dans la boutique Google Play, le nom du package fait partie de l’URL de la page de liste de chaque application, par exemple « https://play.google.com/store/apps/details?id=com.scanner.buratoscanner ».
De nombreux autres magasins d’applications Android suivent des conventions similaires, donc si vous rencontrez une application avec l’un de ces cinq noms de package dans les URL, évitez-les.
Déterminer le nom du package des applications Android déjà installées sur votre téléphone est un peu une solution de contournement. Ouvrez l’application Play Store sur votre téléphone, appuyez sur votre propre avatar dans le coin supérieur droit, appuyez sur « Gérer les applications et l’appareil », puis appuyez sur « Gérer ».
Vous verrez une liste de toutes les applications installées. Appuyez sur n’importe lequel pour afficher sa page Google Play, puis appuyez sur les trois points verticaux en haut à droite et appuyez sur « Partager ».
Un menu glissera du bas de l’écran avec une URL commençant par « https://play.google.com/store/apps/ » qui devrait être partiellement visible. Appuyez sur l’icône qui ressemble à deux carrés imbriqués à droite de l’URL pour copier l’URL dans le Presse-papiers.
Collez maintenant cette URL dans n’importe quel fichier texte – il peut s’agir d’une note, d’un document Word ou Google ou même d’un message électronique. Vous devriez pouvoir voir l’URL complète de la page Google Play Store de l’application, et la fin de l’URL doit contenir le nom du package de l’application.
Inutile de dire que si une application a le même nom de package que l’une des cinq applications malveillantes répertoriées ci-dessus, vous devrez la désinstaller. Vous pouvez le faire directement depuis l’application Google Play.
Pour se prémunir contre l’infection par des applications malveillantes, il est utile d’installer l’une des meilleures applications antivirus Android. Google en a un intégré appelé Google Play Protect, mais cela ne fonctionne évidemment pas très bien.