Le malware Anubis cible 250 applications Android

Une nouvelle campagne d’hameçonnage tente de distribuer le malware Anubis. Ce logiciel malveillant peut prendre le contrôle d’un appareil mobile Android, dérober les informations d’identification de l’utilisateur, installer un keylogger (enregistreur de frappe) et contient même des capacités de ransomware .

Les attaques ciblent les boîtes de réception mobiles et utilisent le malware Anubis, un cheval de Troie sophistiqué utilisé à l’origine pour le cyber-espionnage et réutilisé plus tard comme cheval de Troie bancaire. Les chercheurs de Cofense, qui ont découvert la campagne, ont déclaré que le malware cible plus de 250 applications Android avec de faux écrans de connexion superposés pour capturer les informations d’identification entrées dans les applications.

Les messages contiennent des liens vers un fichier Android Package Kit (APK) qui, s’il est téléchargé et exécuté, lancera une fausse version de «Google Play Protect». Ensuite, le processus d’installation tente d’inciter l’utilisateur à accepter d’exécuter une application Android non signée sur l’appareil ciblé, ce qui donnerait aux pirates informatiques un contrôle total sur l’appareil ciblé.

L’attaque utilise d’abord un e-mail d’hameçonnage typique qui demande aux utilisateurs de télécharger une facture à partir d’un e-mail qui semble provenir d’un contact de confiance, selon un article publié par Marcel Feller, un chercheur de Cofense.

“Lorsque le lien de l’e-mail est ouvert sur un appareil Android, un fichier APK (Fattura002873.apk), est téléchargé”, a écrit Feller. “Lors de l’ouverture du fichier, l’utilisateur est invité à activer Google Play Protect … Cependant, il ne s’agit pas d’un affichage légitime de Google Play Protect ; au lieu de cela, il donne à l’application toutes les autorisations dont elle a besoin tout en désactivant simultanément Google Play Protect. “

anubis

Le nom du malware, Anubis, fait référence à l’ancien dieu égyptien de l’embaumement et des morts, souvent décrit comme à moitié humain et chacal.

La campagne cible principalement les téléphones qui ont des applications bancaires et financières, mais cible également les applications populaires du marché telles que eBay ou Amazon afin de pouvoir dérober les données financières des utilisateurs.

“Une fois qu’une application a été identifiée, Anubis superpose l’application d’origine avec une fausse page de connexion pour capturer les informations d’identification de l’utilisateur”, écrit-il.

S’il est installé, les capacités du logiciel malveillant Anubis incluent la capture d’écran, l’activation ou la modification des paramètres d’administration, l’ouverture et la visite de n’importe quelle URL, l’enregistrement audio et le lancement d’appels téléphoniques.

“Anubis peut prendre le contrôle complet d’un appareil mobile Android, dérober des données, enregistrer des appels téléphoniques et même agir comme un ransomware en chiffrant les fichiers personnels de la victime et en demandant une rançon”, a écrit Feller.

Des échantillons d’Anubis ont été identifiés sur la toile et utilisés dans le cadre d’autres campagnes après que son développeur aurait été arrêté et que le code source du malware ait été divulgué l’année dernière. En novembre, par exemple, le code d’Anubis est apparu dans un nouveau malware de banque mobile sur Android, surnommé Gnip.

La nouvelle campagne – qui affecte plusieurs versions du système d’exploitation Android, en remontant jusqu’à la version 4.0.3 – combine diverses fonctions néfastes dans un seul package, y compris le keylogging, le vol d’informations d’identification et même un module de rançongiciel qui recherche le stockage interne et externe d’un appareil et les chiffre à l’aide de l’algorithme RC4, a noté Feller. Cofense na pas précisé toutes les versions du système d’exploitation Android qui pourrait être potentiellement impactées.

Alors que la campagne met principalement en danger les particuliers, elle menace également les entreprises en raison de l’utilisation croissante des politiques BYOD ou “Bring Your Own Device” (“amenez votre propre appareil” en français), a déclaré le chercheur. Les utilisateurs les plus à risque face à cette campagne d’infection sont les utilisateurs qui ont configuré leur appareil mobile Android pour recevoir des e-mails liés au travail et autoriser l’installation d’applications non signées.

La campagne comprend également un enregistreur de frappe, qui fonctionne dans chaque application installée sur l’appareil ciblé. Cependant, l’enregistreur de frappe est une fonctionnalité post-infection et est activé à distance via le serveur C2 (command and control) du pirate informatique, a écrit Feller.

Comment se protéger de cette campagne d’infection d’Anubis?

Pour éviter d’être victime de cette dernière campagne d’hameçonnage d’Anubis, Cofense recommande aux utilisateurs de limiter les installations d’applications sur les appareils, en utilisant uniquement les applications créées par des développeurs de confiance et téléchargées à partir des plateformes officiels, a-t-il ajouté.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x