De nos jours, les utilisateurs d’Android sont confrontés à un pool sans fond de menaces, et dès qu’une opération de malware Android tombe au fond, une nouvelle surgit pour donner des maux de tête aux utilisateurs.
Découvert et détaillé dans un rapport publiée aujourd’hui par la société de sécurité ThreatFabric, la dernière de ces menaces s’appelle Xénomorphe.
Repéré pour la première fois ce mois-ci, le malware Xenomorph est un cheval de Troie bancaire classique qui infecte les smartphones Android, demande l’accès au service d’accessibilité, puis utilise cet outil surpuissant pour afficher de faux écrans de connexion sur les applications bancaires mobiles.
Le logiciel malveillant collecte ces informations, ainsi que d’autres données de l’appareil, et les envoie aux serveurs de commande et de contrôle (C&C) de son propriétaire.
Ces données sont ensuite utilisées pour accéder aux comptes bancaires et voler des fonds. Dans le cas où les comptes sont protégés par une authentification à deux facteurs, Xenomorph peut également intercepter les notifications de messages SMS et récupérer le code pour les attaquants.
ThreatFabric a déclaré que sur la base des échantillons de logiciels malveillants trouvés jusqu’à présent, Xenomorph pourrait afficher de faux écrans de connexion pour 56 banques d’Espagne, du Portugal, d’Italie et de Belgique.
En outre, il peut également afficher de faux écrans de connexion pour 12 portefeuilles mobiles de crypto-monnaie et sept applications de messagerie.
Mais alors que de nombreux chevaux de Troie bancaires Android se propagent aujourd’hui à l’aide d’applications proposées en téléchargement sur des magasins d’applications tiers ou via des sites Web dédiés, Xenomorph fait partie d’un groupe restreint de souches de logiciels malveillants qui ont été distribuées via le Google Play Store officiel.
L’équipe ThreatFabric a déclaré que Xenomorph est proposé en tant que charge utile de deuxième étape dans des applications malveillantes qui ont réussi à passer les contrôles de sécurité du Play Store de Google.
Ces applications cachent généralement une petite souche de logiciels malveillants appelée « compte-gouttes » qui, une fois ces contrôles passés, télécharge des logiciels malveillants plus puissants et intrusifs sur un appareil.
Dans les attaques qu’il a repérées ce mois-ci, ThreatFabric a déclaré avoir vu Xenomorph tomber sur les appareils des utilisateurs via un compte-gouttes nommé Gymdrop.
Pour l’instant, ils ont repéré les infections Xenomorph uniquement via l’application « Fast Cleaner », installée sur plus de 50 000 appareils, avant qu’elle ne soit retirée du Play Store.
Bien que les chercheurs aient déclaré que le malware semble toujours en cours de développement, il est clair qu’il s’agit d’une nouvelle menace majeure qui est là pour rester, et ils s’attendent à de nouvelles attaques à l’avenir.
ThreatFabric a déclaré avoir nommé le logiciel malveillant avec le nom particulier de Xénomorphe parce qu’il a trouvé des indices dans son code reliant bon nombre de ses fonctionnalités à un ancien cheval de Troie bancaire Android connu sous le nom d’Alien et a décidé d’utiliser un nom similaire inspiré de la série de films Alien.