Étude des menaces

Le cheval de Troie bancaire Cerberus est arrivé sur le Google Play Store

Avast Security News Team, 7 juillet 2020

Se présentant comme une application de conversion de devises, elle cible les utilisateurs en Espagne et a été téléchargée plus de 10 000 fois

Au cours des derniers jours, notre équipe du laboratoire de recherche pour mobile chez Avast a découvert un cheval de Troie bancaire Cerberus sur Google Play qui ciblait les utilisateurs d'Android en Espagne. Comme il est souvent le cas avec les logiciels malveillants bancaires, Cerberus, s'est déguisé en véritable application pour accéder aux coordonnées bancaires des utilisateurs peu méfiants. Ce qui n'est pas si courant, c'est qu'un cheval de Troie bancaire a réussi à se faufiler sur le Google Play Store. En l'occurence, l'application « authentique » proposée comme un convertisseur de devises espagnol appelé « Calculadora de Moneda ». Selon nos recherches, elle a caché ses intentions malveillantes pendant les premières semaines tout en étant disponible sur le magasin en ligne. Il s'agissait peut-être d'acquérir furtivement des utilisateurs avant de lancer des activités malveillantes, ce qui aurait pu attirer l'attention des chercheurs de logiciels malveillants ou de l'équipe Google Play Protect. En conséquence, l'application a été téléchargée plus de 10 000 fois jusqu'à présent. Nous l'avons signalé à Google, afin qu'il puisse la supprimer rapidement.

Les applications de cheval de Troie bancaire fonctionnent de manière furtive afin de gagner la confiance des utilisateurs et de voler leurs données bancaires. Ce processus comporte plusieurs étapes. La première consiste à fournir une application, qui semble généralement fonctionner normalement et peut-être même offrir un certain degré de fonctionnalités utiles aux utilisateurs qui l'ont téléchargée. Il s'agit de gagner leur confiance et s'assurer qu'ils garde l'application sur leurs téléphones. À ce stade, l'application « Calculadora de Moneda » n'a volé aucune donnée ni causé aucun préjudice. D'après les recherches effectuées par notre laboratoire des menaces, c'est exactement ce qui s'est produit lorsque les utilisateurs ont commencé à télécharger l'application de conversion de devises en mars de cette année.

Dans ce cas, cette application bénigne est devenue ce que l'on appelle un « compte-gouttes » à un stade ultérieur. Les compte-gouttes sont des applications malveillantes qui téléchargent silencieusement une autre application sur un appareil à l'insu de l'utilisateur. Les versions ultérieures du convertisseur de devises comprenaient un « code de compte-gouttes » mais il n'était toujours pas activé initialement, c'est-à-dire que le serveur de commande et de contrôle (C&C) demandait à l'application de ne pas émettre de commandes et que les utilisateurs ne voyaient pas et ne téléchargeaient pas le malware. Cependant, au cours des deux derniers jours, notre laboratoire a remarqué qu'un « serveur de commande et de contrôle » avait émis une nouvelle commande pour télécharger le package d'application Android (APK) malveillant supplémentaire - le banker. 

Dans cette dernière étape, l'application banker peut s'asseoir sur une application bancaire existante et attendre que l'utilisateur se connecte à son compte bancaire. À ce stade, le cheval de Troie malveillant s'active, créant une escale sur votre écran de connexion et vole toutes vos données d'accès. Le banker a également la possibilité de lire vos messages et les détails de l'authentification à deux facteurs, ce qui signifie qu'il est capable de contourner toutes les mesures de sécurité. 

Le serveur C&C en question et sa charge utile de logiciels malveillants n'étaient actifs que pendant la majeure partie de la journée d'hier, période pendant laquelle les utilisateurs de l'application de conversion de devises téléchargeaient le logiciel malveillant. Cependant, hier soir, le serveur de commande et de contrôle avait disparu et l'application de conversion de devises sur Google Play ne contenait la menace. Bien que ce ne soit qu'une courte période, il s'agit d' une tactique que les fraudeurs utilisent fréquemment pour se cacher de la protection et de la détection, c'est-à-dire limiter l'espace de temps où l'activité malveillante peut être découverte.

Différentes versions de l'application convertisseur de devices présentes sur notre plateforme : apklab.io.

Toutes nos constatations ont été signalées à Google. 

Comment vous protéger contre les chevaux de Troie bancaires mobiles

Nous recommandons aux utilisateurs de prendre les mesures suivantes afin de se protéger des chevaux de Troie bancaires mobiles :

  • Confirmez que l'application que vous utilisez est une application bancaire vérifiée. Si l'interface vous semble inconnue ou étrange, vérifiez auprès de l'équipe du service client de la banque
  • Utilisez l'authentification à deux facteurs si votre banque le propose en option.
  • Ne comptez que sur les magasins d'applications de confiance, tels que Google Play ou l'App Store d'Apple. Même si le malware s'est glissé dans Google Play, sa charge utile a été téléchargée à partir d'une source externe. Si vous désactivez la possibilité de télécharger des applications à partir d'autres sources, vous serez à l'abri de ce type de cheval de Troie bancaire activé sur votre téléphone.
  • Avant de télécharger une nouvelle application, vérifiez ses évaluations d'utilisateurs. Si d'autres utilisateurs se plaignent d'une mauvaise expérience utilisateur, il peut s'agir d'une application à éviter.
  • Faites attention aux autorisations demandées par une application. Si vous pensez que l'application demande plus que ce qu'elle promet, considérez-le comme un carton rouge.
  • Souvent, les logiciels malveillants demandent à devenir administrateur de l'appareil pour contrôler votre appareil. N'accordez pas cette autorisation à une application à moins que vous ne sachiez que cela est vraiment nécessaire à son fonctionnement.
  • Utilisez une application de sécurité comme Avast Mobile Security qui détecte et vous protège contre les menaces bancaires .

Liste des IoC :

  • Main dropper - Application convertisseur de devices que nous avons détectée comme dropper actif :
    • C30ebf9fc47e6e12f4467e32bf1b3c055f99659c8c0395df4b3e7107591eb5fa
  • Dropper C&C :
    • 23.106.124.183
  • Payload (banker) :
    • D89E08DB5AF347BE72F1307186638AAA062A8DE45A808F57DCE85BC83C94059E
  • Banker C&C :
    • goldegrillz.top

NOUS AVONS BESOIN DE VOUS : aidez-nous à combattre les pirates informatiques en nous envoyant les e-mails et SMS frauduleux que vous recevez (transfert d'e-mails, liens suspicieux ou captures d'écran) à l'adresse signalement@avast.com

Avast est un leader mondial de la cybersécurité, protégeant des centaines de millions d'utilisateurs dans le monde. Protégez tous vos appareils avec notre antivirus gratuit primé.