Étude des menaces

Une nouvelle version mobile de WannaLocker touche le Brésil

Avast Security News Team, 1 juillet 2019

Nikolaos Chrysaidos, chercheur de menaces chez Avast, surveille la nouvelle version d'un programme malveillant associant un logiciel espion, un cheval de Troie avec accès distant, et un cheval de Troie bancaire.

Une nouvelle version à trois volets du ransomware connu sous le nom de WannaCry mobile cible quatre grandes banques au Brésil, selon la découverte du chercheur de menaces chez Avast, Nikolaos Chrysaidos

Selon ses conclusions, il s'agit d'une nouvelle version de WannaLocker, le copycat pour mobile de WannaCry, qui regroupe des logiciels espions, des programmes malveillants d'accès distant (RAT) et des programmes malveillants de type chevaux de Troie bancaires, dans un seul paquet de logiciels ransomware. 

"Nous pensons que c'est la première fois que nous voyons cette nouvelle version mobile de WannaLocker", a déclaré Chrysaidos, un chercheur qui avait précédemment suivi les chevaux de Troie bancaires sur Google Play Store. "Il recueille des informations textuelles, des journaux d'appels, un numéro de téléphone et des informations de carte de crédit. S'il prend de l'ampleur, cela pourrait devenir un problème très grave."

WannaCry, une épidémie de ransomware de 2017 qui a balayé le monde, était l'une des pires menaces à la cybersécurité de cette décennie.  

Chrysaidos (photo) a déclaré que les chercheurs ne savaient pas comment cette nouvelle version de WannaLocker pénétrait dans les téléphones, mais soupçonnaient que ce soit via des liens malveillants ou des magasins tiers.

DSC_0648-520x520

Le cheval de Troie bancaire fonctionne en montrant aux utilisateurs une fausse interface et en les exhortant à résoudre un problème lié à leur compte en se connectant. Lorsqu’ils le font, le logiciel malveillant recueille un large éventail de données, notamment le fabricant du mobile et d’autres informations sur le matériel, le journal des appels, messages, numéro de téléphone, photos des appareils photo avant et arrière, liste de contacts, localisation GPS et données audio du microphone. 

WannaLocker oblige normalement les clients à chiffrer des fichiers sur le stockage externe d'un utilisateur mobile et exige un paiement relativement faible pour les libérer. Cette version inclut un design adéquat et le message destiné à l'utilisateur infecté, mais elle semble être toujours en développement, a déclaré Chrysaidos.

Le travail de Chrysaidos et d'autres recherches connexes peuvent être consultés sur apklab.io, une plate-forme de renseignement sur les menaces mobiles (MTIP) conçue pour fournir des renseignements en temps réel aux chercheurs en sécurité Android.

Apklab.io est la première plateforme de ce type et met à disposition des informations provenant du réseau mondial de plus de 145 millions d'utilisateurs mobiles d'Avast, afin d'aider les chercheurs à lutter contre la menace croissante des logiciels malveillants mobiles.

Comment se prémunir contre les logiciels malveillants bancaires

  • Confirmez que l'application bancaire que vous utilisez est la version officielle vérifiée. 

  • Si quelque chose vous semble anormal ou soudainement inconnu, contactez le service clientèle de votre banque.

  • Utilisez une authentification à deux facteurs si elle est disponible.