[ad_1]
Une nouvelle menace plane sur les données financières des consommateurs et des entreprises. Il s’agit d’EventBot, une nouvelle forme de malware mobile Android repérée ce jeudi par les équipes de Cybereason. Celui-ci combine un cheval de Troie et un voleur d’informations capable
d’exfiltrer les données des applications financières de ses utilisateurs,
ainsi que de mener des opérations d’espionnage sur ses
victimes.
EventBot cible plus de 200 applications financières et
cryptocurrentielles mobiles, dont celles proposées par PayPal, Barclays,
CapitalOne UK, Coinbase, TransferWise et Revolut. Les services
financiers et bancaires en Europe et aux États-Unis sont spécifiquement
ciblés. Le malware semble être encore en cours de développement, avec
des indicateurs comprenant les numéros de version 0.0.0.1, 0.0.0.2, et
0.3.0.1, ainsi que des identifiants nommés avec « test » dans la base de
code.
EventBot abuse des fonctionnalités d’accessibilité d’Android pour compromettre les appareils. Après avoir été téléchargé – ce qui, selon les chercheurs, se fera probablement par l’intermédiaire de magasins APK malveillants lors de sa sortie officielle, à moins qu’un opérateur ne soit en mesure de le faire passer clandestinement par la sécurité de Google Play – le malware, qui se fait passer pour une application légitime, demande d’abord un ensemble d’autorisations.
Un système encore en cours de développement
Ces autorisations comprennent l’accès aux fonctions d’accessibilité, le contrôle de l’installation des paquets, la possibilité d’ouvrir des sockets réseau, de lire à partir d’un stockage externe et la possibilité de fonctionner en arrière-plan. Si une victime accepte les demandes, le malware peut « fonctionner comme un keylogger et peut récupérer des notifications sur les autres applications installées et le contenu des fenêtres ouvertes », disent les chercheurs, et téléchargera et mettra automatiquement à jour un fichier de configuration contenant la liste des applications financières cibles.
Actuellement, la majorité des institutions ciblées se trouvent en France, en Italie, au Royaume-Uni et en Allemagne. Les URL de commande et de contrôle (C2) sont également téléchargées. Les informations envoyées entre EventBot et les C2 sont cryptées à l’aide de Base64, RC4 et Curve25519. « Toutes les versions les plus récentes d’EventBot contiennent également une bibliothèque ChaCha20 qui peut améliorer les performances par rapport à d’autres algorithmes comme RC4 et AES, mais elle n’est pas utilisée actuellement », note l’équipe de Cybereason, pour qui « cela implique que les auteurs travaillent activement à l’optimisation d’EventBot dans le temps ».
Le malware collecte les données du système à partir de l’appareil cible, saisit les messages SMS – une fonctionnalité utile pour contourner l’authentification à deux facteurs (2FA) – et est capable d’effectuer des injections web, de saisir les codes PIN des écrans Samsung, d’effectuer une surveillance et de voler des données non seulement de l’appareil de l’utilisateur mais aussi des applications, en raison de l’abus des fonctionnalités d’accessibilité qui donne à EventBot le contrôle de diverses fonctionnalités telles que le remplissage automatique, combiné avec son module d’enregistrement de frappe.
Des attaques croissantes sur nos mobiles
Cybereason estime qu’EventBot a le potentiel de devenir une menace sérieuse pour les mobiles à l’avenir, car « il fait l’objet d’améliorations itératives constantes, abuse d’une fonctionnalité critique du système d’exploitation et cible les applications financières ». Comme le logiciel malveillant semble toujours être en cours de développement, Cybereason n’a pu trouver aucun lien concret à des fins d’attribution. Cependant, l’infrastructure d’EventBot et C2 ont révélé un lien potentiel avec un voleur d’informations Android, précédemment repéré fin 2019 lors d’attaques en Italie.
Selon Cybereason, EventBot met en évidence la fréquence croissante des attaques sur les mobiles, un problème non seulement pour les consommateurs qui utilisent des applications financières, mais aussi pour les entreprises qui s’appuient sur la même technologie pour accéder aux données financières de l’entreprise. Selon les chercheurs, environ un tiers des logiciels malveillants ciblent aujourd’hui les terminaux mobiles, et il est possible qu’EventBot devienne une menace plus importante à l’avenir.
Au début de ce mois, Bitdefender a révélé l’existence de dark_nexus, un nouveau botnet qui surpasserait les autres botnets en raison de ses capacités et de ses caractéristiques extrêmement avancées. L’équipe a déclaré que dark_nexus a des liens de code avec Mirai et Qbot, mais que l’infrastructure du botnet est bien plus robuste que celle des deux botnets bien connus.
Source : ZDNet.com
[ad_2]
Source link
