Les pirates disposent d'un nouvel outil dans leur arsenal : l'un des chevaux de Troie bancaires Android les plus avancés vient d'être mis à niveau avec de nouvelles fonctionnalités qui lui permettent de contrôler à distance les appareils infectés.

Découvert pour la première fois par la société de sécurité ThreatFabric en 2021, Vultur a été l'un des premiers chevaux de Troie bancaires capables d'enregistrer l'écran des smartphones Android infectés. Au cours des années qui ont suivi, ses créateurs ont mis à jour ce malware Android pour le rendre encore plus dangereux.

Comme le rapporte SecurityWeek, de nouvelles fonctionnalités techniques ont été ajoutées à Vultur et le malware est désormais encore plus efficace pour échapper à la détection. Alors qu'il avait été initialement distribué à l'aide d'applications malveillantes sur le Google Play Store, les chercheurs en sécurité du groupe NCC ont récemment observé une toute nouvelle campagne utilisant une nouvelle méthode de distribution pour inciter les utilisateurs peu méfiants à installer ce malware sur les meilleurs téléphones Android.

Voici tout ce que vous devez savoir sur le cheval de Troie bancaire Vultur, ainsi que quelques conseils et astuces pour éviter que votre téléphone ne soit piraté par des pirates.

Infecter les victimes avec une attaque hybride

Personne tenant un téléphone près d'un ordinateur portable, représentant un article expliquant comment configurer un point d'accès Wi-Fi sur Android.

Au lieu d'infecter les utilisateurs via des applications malveillantes, cette nouvelle campagne utilise une attaque hybride qui commence par un message texte, suivi d'un appel téléphonique et d'un autre message texte.

Dans leur rapport, les chercheurs en sécurité du groupe NCC expliquent que cette attaque hybride commence par un message texte qui demande aux victimes potentielles d'appeler un numéro si elles n'ont pas autorisé une transaction importante depuis leur compte bancaire. Bien que cette transaction n’ait jamais eu lieu, le message crée un sentiment d’urgence qui pourrait suffire à inciter les utilisateurs à appeler le numéro.

S'ils appellent pour se renseigner sur la transaction importante, un deuxième message texte est envoyé pendant l'appel. Il contient un lien vers une version trojanisée d'une application McAfee Security qu'ils sont contraints d'installer sur leur smartphone. L'application elle-même semble légitime à première vue, mais elle contient en réalité le compte-gouttes Brunhilda qui est ensuite utilisé pour télécharger le cheval de Troie bancaire Vultur.

Le malware est téléchargé en trois charges utiles distinctes qui sont combinées sur le smartphone Android ciblé. Une fois installés, les pirates derrière cette campagne prennent le contrôle total d’un appareil infecté.

Un vautour plus dangereux

Un hacker tapant rapidement sur un clavier

Le cheval de Troie bancaire Vultur était suffisamment dangereux lorsqu'il a été observé pour la première fois, mais il possède désormais encore plus de fonctionnalités que les pirates peuvent utiliser dans leurs attaques.

Par exemple, le malware peut télécharger, télécharger, supprimer, installer et rechercher des fichiers sur un smartphone Android infecté, mais il peut également empêcher l’exécution des applications. De même, il peut afficher une notification personnalisée dans la barre d'état et même désactiver Keyguard qui lui permet de contourner votre écran de verrouillage. Cependant, les nouvelles capacités de contrôle à distance sont de loin les plus intéressantes.

Bien que Vultur utilise toujours AlphaVNC et ngrok pour la fonctionnalité d'accès à distance comme il l'a fait en 2021, un pirate informatique peut désormais envoyer des commandes à un smartphone infecté pour effectuer des défilements, des gestes de balayage, des clics, couper/réactiver le son de l'appareil et bien plus encore.

Tout comme d'autres souches de logiciels malveillants Android, Vultur abuse des services d'accessibilité du système d'exploitation pour obtenir encore plus de contrôle sur un appareil infecté. Les cybercriminels derrière ce cheval de Troie bancaire exploitent également le service Firebase Cloud Messaging (FCM) de Google pour envoyer des messages depuis un serveur de commande et de contrôle (C2) qu'ils contrôlent vers un téléphone infecté.

Normalement, les pirates doivent avoir une connexion continue avec un appareil infecté pour pouvoir le contrôler. En utilisant FCM, ils peuvent envoyer une commande même si leur connexion à l'appareil est perdue. AlphaVNC et ngrok nécessitent toujours une connexion à distance continue, mais cette nouvelle fonctionnalité ajoute plus de flexibilité tout en facilitant la tâche des pirates qui ont déployé ce malware dans leurs attaques.

La fonctionnalité de gestion de fichiers récemment ajoutée donne également aux pirates plus de contrôle sur les smartphones Android infectés, puisqu'ils peuvent supprimer les fichiers existants de l'appareil et en télécharger de nouveaux pour les utiliser dans des attaques supplémentaires.

Comment se protéger des logiciels malveillants Android

Une main tenant un téléphone se connectant en toute sécurité

Même si je vous dirais généralement d'éviter les applications Android mal notées et d'éviter de télécharger des applications si vous souhaitez vous protéger des logiciels malveillants, cette campagne est un peu différente.

Il s'agit plutôt d'une attaque de phishing puisqu'elle commence par un message urgent provenant d'un expéditeur inconnu. Dans des cas comme celui-ci, vous devez garder la tête froide et éviter de laisser vos émotions prendre le dessus sur vous. Au lieu de répondre au message immédiatement, voire pas du tout, vous devez d'abord vérifier vos comptes bancaires pour voir si cette transaction importante a réellement eu lieu. Cela révélerait que ce n’est pas le cas et vous pourriez ignorer le message en toute sécurité.

Dans le même temps, vous ne voulez jamais rappeler les pirates au téléphone lorsqu’ils vous fournissent un numéro, que ce soit par SMS ou par e-mail. Les contrôles automatisés de sécurité des e-mails empêchent désormais bon nombre de leurs messages de passer, c'est pourquoi les pirates ont commencé à essayer de tromper les utilisateurs pour qu'ils les appellent. Il est beaucoup plus facile de convaincre quelqu'un de faire quelque chose qu'il n'a pas nécessairement envie de faire lorsque vous lui parlez au téléphone.

Pour vous protéger contre les applications trojanisées comme celle utilisée dans cette attaque, vous devez vous assurer que Google Play Protect est installé et activé sur votre smartphone Android. De nos jours, cependant, la plupart des téléphones Android sont préinstallés. Pour une protection supplémentaire, vous devriez également envisager d'utiliser l'une des meilleures applications antivirus Android, car elles sont mises à jour plus fréquemment et beaucoup d'entre elles incluent des fonctionnalités de sécurité supplémentaires comme un VPN ou un gestionnaire de mots de passe.

Dans un e-mail adressé à Tom's Guide, un porte-parole de Google a fourni des informations supplémentaires sur la manière dont le géant de la recherche s'efforce de protéger les utilisateurs d'Android contre le malware Vultur, en déclarant :

« Les utilisateurs d'Android sont automatiquement protégés contre les versions connues de ce malware par Google Play Protect, qui est activé par défaut sur les appareils Android dotés des services Google Play. Google Play Protect peut avertir les utilisateurs ou bloquer les applications connues pour présenter un comportement malveillant, même lorsque ces applications arrivent. provenant de sources extérieures à Play. »

À mesure que Google et d’autres sociétés parviennent à mieux repousser des attaques comme celle-ci, les pirates informatiques continueront de concevoir de nouvelles façons de vous inciter à installer des logiciels malveillants sur votre smartphone. C'est pourquoi vous devez être très prudent lors de l'installation d'une nouvelle application tout en évitant à tout prix celles que vous devez installer manuellement.