Une variante de LokiBot attaque des applications Android

Les chercheurs ont découvert une nouvelle variante du cheval de Troie LokiBot qui se nomme BlackRock. Cette nouvelle variante attaque non seulement les applications financières et bancaires, mais également une liste massive d’applications bien connues et couramment utilisées sur les appareils Android.

Les applications ciblées incluent: Amazon, eBay, Facebook, Grinder, Instagram, Netflix, PlayStation, Reddit, Skype, Snapchat, TikTok, Tinder, Tumblr, Twitter, Uber et VK, selon les chercheurs.

Le malware, que ThreatFabric a découvert en Mai, est dérivé du code source du malware bancaire Xerxes, qui est lui-même une autre variante de LokiBot, ont déclaré des chercheurs dans un rapport publié en ligne. Les cybercriminels derrière Xerxes ont rendu public le code source de ce malware en 2019, un type d’événement qui déclenche généralement une réaction en chaîne avec la création de nouvelles variantes de logiciels malveillants, ont noté les chercheurs.

lokibot

BlackRock est à un cheval de Troie bancaire normal, ciblant les banques et différentes applications de chiffrement dans divers pays sur au moins cinq continents, y compris les États-Unis, le Japon, le Royaume-Uni, l’Australie, la France, le Canada et la Malaisie.

Parmi ses fonctionnalités figurent celles incluses dans la plupart des logiciels malveillants de vol d’informations d’identification, y compris la possibilité d’effectuer des attaques par superposition; envoyer, spammer et dérober des SMS; verrouiller l’écran d’accueil de l’appareil de la victime et dérober et masquer les notifications. Il peut également agir comme un enregistreur de frappe, enregistrant le contenu textuel des applications ciblées qui sont affichées sur l’écran de l’appareil, ont déclaré les chercheurs.

Mais si les capacités bancaires de BlackRock ne sont pas très impressionnantes, offrant «un ensemble de capacités assez commun par rapport aux chevaux de Troie bancaires Android moyens», selon le rapport. Il possède cependant d’autres atouts.

L’une des particularités est le groupe d’applications non financières qu’il cible; BlackRock récupère les données d’une liste assez étendue d’applications de chat, de rencontres, de jeux et de réseaux sociaux très courantes. Cela élargit considérablement le nombre de victimes qu’il peut cibler, ont déclaré les chercheurs.

De plus, BlackRock peut se cacher des programmes antivirus, redirigeant une victime vers l’écran d’accueil de l’appareil si elle essaie de démarrer ou d’utiliser un logiciel antivirus spécifique. Les programmes que les logiciels malveillants peuvent détecter et détourner incluent: Avast, AVG, BitDefender, Eset, Symantec, TrendMicro, Kaspersky, McAfee et Avira, ainsi que des applications pour nettoyer les appareils Android, tels que TotalCommander, SD Maid ou Superb Cleaner.

«Ce faisant, le cheval de Troie essaie d’éviter de laisser la victime l’enlever de l’appareil et d’établir une certaine forme de persistance», ont écrit les chercheurs.

LokiBot le filou

Lorsque BlackRock est lancé pour la première fois sur un appareil, il masque son icône afin qu’il soit invisible pour l’utilisateur de l’appareil. Et puis, dans la plupart des cas, il se présente comme une fausse mise à jour de Google pour demander à la victime les privilèges du service d’accessibilité.

Une fois ce privilège accordé, BlackRock prend la liberté de se donner des autorisations supplémentaires afin qu’il puisse pleinement fonctionner sans avoir à interagir davantage avec la victime. Une fois l’installation complète, le cheval de Troie peut recevoir des commandes du serveur de commande et de contrôle (C2) et effectuer son activité malveillante, ont déclaré les chercheurs.

Une autre fonctionnalité unique de BlackRock par rapport aux autres chevaux de Troie Android est qu’il tire parti des profils de travail Android en créant et en s’attribuant un profil pour obtenir des privilèges d’administrateur. Habituellement, seules les entreprises d’appareils mobiles utilisent ces profils pour définir un contrôleur de politique d’appareil (DPC), qui leur permet de contrôler et d’appliquer des politiques sur les mobiles qu’ils vendent sans avoir les droits d’administrateur complets, ont noté les chercheurs.

Le renouveau de LokiBot

LokiBot est un cheval de Troie prolifique qui a été détecté pour la première fois à la fin de l’année 2016 et est devenu tristement célèbre pour sa simplicité et son efficacité dans sa capacité à siphonner secrètement les informations des terminaux compromis. En tant que menace solitaire, le cheval de Troie n’est plus actif depuis un certain temps, ont déclaré les chercheurs de ThreatFabric. Cependant, LokiBot continue d’exister à travers la distribution de plusieurs variantes sous formes diverses qui peuvent s’insérer dans d’autres formats de fichiers.

lokibot

LokiBot a même fait surface durant la pandémie de coronavirus dans le cadre d’une campagne de hameçonnage qui distribuait le cheval de Troie via des pièces jointes malveillantes dans des e-mails qui prétendaient avoir été envoyés par l’OMS(Organisation Mondiale de Santé).

Les chercheurs ont déclaré avoir vu des cybercriminels tenter de relancer LokiBot au cours des dernières années. Cependant, il semble que les pirates informatiques n’aient pas eu beaucoup de réussite jusqu’à ce que le code source de Xerxes soit publié.

Si cet article vous a plu, jetez un œil à notre article précédent.