Le malware Android « Escobar » vole vos codes 2FA et prend le contrôle de votre téléphone
Un cheval de Troie bancaire Android appelé « Escobar » se fait passer pour une application antivirus McAfee et vole des codes à usage unique de Google Authenticator, démontrant une fois de plus pourquoi vous ne voulez vraiment pas installer d’applications en dehors de la boutique Google Play officielle.
L’application peut également voler des messages texte SMS et des fichiers multimédias, passer des appels téléphoniques, suivre votre position, utiliser l’appareil photo du téléphone, désinstaller des applications, injecter de nouvelles URL dans les navigateurs Web et, le plus dévastateur de tous, utiliser la fonction de bureau à distance VNC pour complètement reprendre un téléphone.
Cette dernière fonctionnalité signifie que les escrocs exécutant cette application peuvent pénétrer dans vos comptes bancaires en ligne et d’autres services en ligne tels que les comptes de messagerie et de médias sociaux sans aucune aide de votre part.
Comment se protéger des logiciels malveillants Escobar
Pour vous prémunir contre Escobar et les chevaux de Troie bancaires Android similaires, voici ce que vous devez faire.
- Installez et utilisez l’une des meilleures applications antivirus Android
- N’installez pas d’applications en dehors du Google Play Store. Google Play n’est pas parfait, mais d’autres magasins d’applications sont pires
- Utilisez la méthode d’authentification à deux facteurs (2FA) la plus puissante offerte par chaque compte. Si vous pouvez utiliser une clé de sécurité USB sur un compte, optez pour celle-ci
- Installez et utilisez une application de l’un des meilleurs gestionnaires de mots de passe, qui peut faire la différence entre un vrai et un faux écran de connexion
- Lisez les autorisations demandées par chaque application avant de l’installer
- Méfiez-vous de la consommation anormalement élevée de la batterie ou des données sur votre téléphone
- Assurez-vous que Google Play Protect est activé
- Installez et configurez quelques applications d’authentification alternatives, telles que Authy ou Microsoft Authenticator
Pas d’hippopotames de cocaïne Escobar inclus
Le tueur de bogues MalwareHunterTeam a repéré la fausse application McAfee il y a quelques semaines et a remarqué que le nom du package Android était « com.escobar.pablo », évidemment du nom du baron de la drogue colombien qui a été tué en 1993 et dont les animaux du zoo se sont échappés dans la nature.
L’application a été téléchargée à partir du CDN du réseau de diffusion de contenu Discord, qui est devenu un canal majeur pour les logiciels malveillants.
Possible intéressant, très faible détection « McAfee9412.apk »: a9d1561ed0d23a5473d68069337e2f8e7862f7b72b74251eb63ccc883ba9459fDepuis : https://cdn.discordapp[.]com/attachments/900818589068689461/948690034867986462/McAfee9412.apk »com.escobar.pablo »😂 pic.twitter.com/QR89LV4jat3 mars 2022
Les chercheurs de la société de renseignement sur les menaces Cyble ont mis la main sur l’application malveillante et ont rapidement vu qu’il s’agissait d’une évolution du cheval de Troie bancaire Aberebot, repéré pour la première fois à la mi-2021, qui, selon Cyble, avait déjà « ciblé les clients de plus de 140 banques et institutions financières à travers 18 pays. »
Mais cette nouvelle variante avait quelques nouvelles astuces.
« Cyble Research Labs a identifié de nouvelles fonctionnalités dans cette variante d’Aberebot », ont écrit les chercheurs, « comme le vol de données de Google Authenticator et la prise de contrôle d’écrans d’appareils compromis à l’aide de VNC, etc. »
Que faire si vous pensez avoir été infecté
Si vous soupçonnez que votre appareil a été infecté par un cheval de Troie bancaire tel qu’Escobar, Cyble recommande des mesures drastiques.
- Sauvegardez vos fichiers multimédias, mais PAS vos applications
- Désactivez vos données mobiles et Wi-Fi
- Retirez votre carte SIM
- Réinitialisez votre téléphone aux paramètres d’usine
- Utilisez votre compte Google pour restaurer autant de vos données personnelles que possible
- Vérifiez votre solde bancaire pour toute activité suspecte et signalez-le à votre banque si vous en trouvez
Logiciels malveillants à louer
Cyble et Bleeping Computer, qui ont rapporté cette histoire plus tôt, ont vu que le 14 février, un développeur de logiciels malveillants anglophone utilisant le pseudo « Son Excellence » avait publié une offre sur un forum criminel en russe pour « louer » une version bêta. de ce qu’on appelait « Escobar » pour 3 000 $ par mois.
Les « locataires » seraient chargés de conditionner et de distribuer le logiciel malveillant. Il semble qu’au moins un client ait accepté l’offre de Son Excellence et mis la fausse application McAfee dans le CDN Discord. (Voici notre examen de la véritable application antivirus McAfee Android.)
Comme de nombreux chevaux de Troie bancaires, Escobar vole les noms d’utilisateur et les mots de passe en plaçant des superpositions d’écran similaires au-dessus des applications bancaires légitimes.
Ainsi, si vous avez un compte Bank of America, par exemple, un cheval de Troie bancaire attendra que vous lanciez l’application Android Bank of America, puis superpose son propre écran qui ressemble exactement à l’écran de connexion Bank of America.
Lorsque vous saisissez votre nom d’utilisateur et votre mot de passe, vous les saisissez en fait dans le cheval de Troie bancaire, qui les envoie immédiatement à son serveur de commande et de contrôle distant. Cependant, les bons gestionnaires de mots de passe ne reconnaîtront pas le faux écran de connexion et ne rempliront pas automatiquement les informations d’identification.
Certains chevaux de Troie bancaires tentent de capturer les codes 2FA de l’application d’authentification de la même manière, mais Escobar semble aller directement à la source. Il lance Google Authenticator sur commande et enregistre l’écran, dans l’espoir de capturer les codes avant la fin de leur durée de vie de 30 secondes.
Bien sûr, une fois que les escrocs derrière Escobar utilisent VNC pour contrôler le téléphone, ils peuvent faire presque tout ce qu’ils veulent, y compris utiliser les informations d’identification précédemment capturées pour se connecter aux comptes, puis utiliser Google Authenticator pour vérifier les connexions.