Garder vos appareils mobiles et leurs applications à jour est l'une des choses les plus importantes que vous puissiez faire pour vous protéger des dernières cybermenaces. Cependant, comme les pirates en sont également conscients, ils utilisent souvent de fausses mises à jour pour infecter vos appareils avec des logiciels malveillants, comme c'est le cas avec un nouveau cheval de Troie bancaire Android qui circule actuellement en ligne.

Selon un article de blog de la société de cybersécurité Cyble, ses chercheurs ont découvert un nouveau cheval de Troie bancaire Android appelé Antidot, à ne pas confondre avec le malware Brokewell découvert par l'équipe le mois dernier.

Une fois installé sur l'un des meilleurs téléphones Android, le malware Antidot peut collecter des contacts et des messages texte, récolter des informations d'identification, verrouiller et déverrouiller l'appareil, transférer des appels et bien plus encore. C'est pourquoi ce nouveau cheval de Troie bancaire est si dangereux.

Voici tout ce que vous devez savoir sur le cheval de Troie bancaire Antidot ainsi que quelques mesures que vous pouvez prendre pour protéger votre propre téléphone Android contre ce virus et d'autres souches de logiciels malveillants.

Usurpation de l'identité de Google Play

Google Play est l'une des applications les plus importantes sur votre téléphone Android, car c'est à partir de là que vous téléchargez de nouvelles applications ainsi que des mises à jour pour vos applications existantes. C'est le genre d'application que vous souhaitez absolument garder à jour, c'est pourquoi les pirates derrière cette campagne ont décidé de se faire passer pour elle.

Comme d’autres campagnes de malware, celle-ci utilise des messages de phishing pour inciter les utilisateurs à l’installer. Les utilisateurs peu méfiants peuvent recevoir un e-mail – ou plus probablement un message texte – qui semble provenir de Google leur indiquant qu'ils doivent mettre à jour Google Play. Le message contient également un lien malveillant qui les mène au malware lui-même qui doit être téléchargé sous forme de fichier APK.

Ce qui est particulièrement intéressant à propos de cette campagne, c'est que les fausses pages de mise à jour de Google Play qu'elle utilise ont été rédigées dans plusieurs langues différentes, dont l'anglais, l'allemand, le français, l'espagnol, le russe, le portugais et le roumain. Cela permet aux pirates derrière le cheval de Troie bancaire Antidot de cibler simultanément un large éventail d'utilisateurs Android de plusieurs pays sans avoir à peaufiner la campagne elle-même pour chaque pays.

Captures d'écran montrant comment le malware Antidot usurpe l'identité de Google Play

Une fois installé, le malware affiche une autre fausse page de mise à jour utilisée pour inciter les victimes à lui donner accès aux paramètres d'accessibilité d'Android. L'accès à ces services permet à Antidot d'acquérir un contrôle total sur un smartphone Android vulnérable, car ils peuvent être utilisés de manière abusive pour voir ce qui se trouve sur l'écran d'une victime ainsi que pour interagir avec ses applications et autres données.

Des attaques par superposition au keylogging

Une image illustrant comment les chevaux de Troie bancaires volent les données des cartes de crédit

Le malware Antidot et d'autres chevaux de Troie bancaires utilisent un serveur de commande et de contrôle (C&C) contrôlé par des pirates pour mener à bien leurs actions malveillantes. Ce serveur permet aux pirates de communiquer directement avec un appareil infecté et d'indiquer au malware quoi faire.

À partir de là, le malware Antidot dispose d'un total de 35 commandes différentes qu'il peut exécuter, du déverrouillage d'un appareil infecté à la passation d'appels, la collecte et l'envoi de messages texte, l'envoi de notifications push, le verrouillage de l'appareil et bien plus encore. Ce cheval de Troie bancaire peut également copier le texte du presse-papiers d'un téléphone infecté.

Cependant, afin de voler les mots de passe et autres informations d'identification, Antidot utilise des attaques par superposition de la même manière que d'autres chevaux de Troie bancaires populaires comme Ermac, Chameleon et Brokewell. Pour ceux qui ne sont pas familiers avec les attaques par superposition, voici comment elles fonctionnent. Lorsque vous ouvrez une application bancaire sur votre téléphone, le logiciel malveillant charge une page de phishing HTML conçue pour ressembler à cette application particulière et cette page se superpose au-dessus. Ensuite, lorsque vous saisissez vos identifiants pour vous connecter, ils sont capturés par des pirates informatiques qui peuvent alors vider votre compte bancaire, commettre une fraude ou même usurper votre identité avec suffisamment d'informations.

S'il existe des applications bancaires ou financières pour lesquelles le malware n'a pas de superposition, le keylogging est utilisé pour capturer tout ce qu'une victime tape sur un smartphone Android infecté, y compris ses mots de passe.

Comment se protéger des logiciels malveillants Android

Une main tenant un téléphone se connectant en toute sécurité

Les malwares Android comme Antidot peuvent être très dangereux car de nombreuses informations personnelles et financières sont désormais stockées sur nos téléphones. Cependant, en prenant les bonnes mesures et en mettant en place certaines garanties, vous pouvez éviter d’en être victime.

Pour commencer, vous souhaitez uniquement installer de nouvelles applications à partir du Google Play Store ou d'autres magasins d'applications officiels comme l'Amazon Appstore ou le Samsung Galaxy Store. Bien que pratique et rapide, le chargement latéral d’applications vous met, vous et vos appareils, en danger, il est donc préférable d’éviter complètement cela.

Dans le même temps, vous souhaitez éviter de cliquer sur des liens contenus dans des e-mails ou des SMS envoyés par des expéditeurs inconnus vers votre smartphone. Les pirates informatiques envoient souvent des messages qui tentent de susciter un sentiment d'urgence avec un lien sur lequel vous pouvez cliquer en bas. Si vous lisez le message et que vous vous énervez sur ce qu'il dit, par exemple sur la nécessité de mettre à jour Google Play immédiatement dans ce cas, vous êtes plus susceptible de cliquer sur le lien et de faire exactement ce que les pirates veulent que vous fassiez. Gardez également à l’esprit que les pirates peuvent également se faire passer pour vos amis et votre famille pour vous tromper, comme nous l’avons vu avec la récente arnaque « Regardez qui est mort » sur les réseaux sociaux.

Pour vous protéger des logiciels malveillants Android, vous devez vous assurer que Google Play Protect est activé sur votre smartphone. Cette application antivirus gratuite de Google analyse toutes vos applications existantes et toutes les nouvelles que vous téléchargez à la recherche de logiciels malveillants. Cependant, pour une protection supplémentaire et l'accès à des extras utiles comme un VPN ou un gestionnaire de mots de passe, vous devriez également envisager de télécharger l'une des meilleures applications antivirus pour Android.

En raison de la quantité de données et d'argent qu'ils peuvent rapporter aux pirates informatiques, les chevaux de Troie bancaires ne disparaîtront pas de si tôt. C’est pourquoi c’est à vous d’examiner attentivement les messages que vous recevez et de pratiquer une bonne cyber-hygiène.