Le Centre a conseillé aux utilisateurs indiens de services bancaires mobiles d’être prudents face à un virus « cheval de Troie » difficile à désinstaller qui peut chiffrer secrètement un téléphone Android contre une rançon. Il a le potentiel de mettre en péril les données sensibles des clients et d’entraîner des fraudes financières « à grande échelle ».

L’avis était publié le 10 septembre par Computer Emergency Response Team (CERT-In), l’agence nodale du ministère de l’Électronique et des Technologies de l’information travaillant pour lutter contre les menaces à la cybersécurité. Il a informé: « Il a été signalé à CERT-In que les clients bancaires indiens sont ciblés par un nouveau type de campagne de logiciels malveillants bancaires mobiles utilisant le cheval de Troie SOVA Android. »

L’avis indiquait que la première version du logiciel malveillant avait été vendue illégalement en septembre 2021. Il avait ensuite la possibilité d’obtenir des noms d’utilisateur et des mots de passe via la journalisation des clés, de voler des cookies et d’ajouter de fausses superpositions à une gamme d’applications. Il ne ciblait initialement que quelques pays comme les États-Unis, la Russie et l’Espagne, mais en juillet 2022, l’Inde figurait également sur la liste.

Le malware s’est mis à niveau vers la cinquième version, selon l’avis, se cachant dans de fausses applications Android qui apparaissent avec le logo de quelques applications légitimes célèbres comme Chrome, Amazon, NFT (jeton non fongible lié à la crypto-monnaie) plate-forme pour tromper les utilisateurs pour qu’ils les installent.

L’avis de CERT-In avertit que le SOVA mis à niveau cible désormais plus de 200 applications mobiles, y compris des applications bancaires et des échanges/portefeuilles cryptographiques. Il se propage par des messages frauduleux et une fois dans l’appareil, il enregistre les informations des utilisateurs au moment de la connexion aux applications bancaires en ligne.

« Une fois la fausse application android installée sur le téléphone, elle envoie la liste de toutes les applications installées sur l’appareil au C2 (serveur de commande et de contrôle) contrôlé par l’auteur de la menace afin d’obtenir la liste des applications ciblées », CERT- En informé.

« À ce stade, le C2 renvoie au malware la liste des adresses de chaque application ciblée et stocke ces informations dans un fichier XML. Ces applications ciblées sont ensuite gérées via les communications entre le malware et le C2. »

Le logiciel malveillant est si puissant qu’il peut capturer des frappes au clavier, voler des cookies, intercepter des jetons d’authentification multi-facteurs (MFA), prendre des captures d’écran et enregistrer des vidéos à partir d’une webcam et peut effectuer des gestes tels que cliquer sur l’écran, balayer, etc. avec l’utilisation du service d’accessibilité Android.

Pour se cacher, il peut également ajouter des pseudo-superpositions à une gamme d’applications et répliquer plus de 200 applications bancaires et de paiement.

Il intègre différentes façons de se protéger. Si l’utilisateur essaie de désinstaller le logiciel malveillant à partir des paramètres ou en appuyant sur l’icône, SOVA est capable d’attraper ces actions et d’empêcher l’utilisateur victime en les renvoyant à l’écran d’accueil et en affichant une petite fenêtre contextuelle « Cette application est sécurisée ».

Comment sécuriser votre appareil ?

L’agence a conseillé certaines contre-mesures pour réduire la vulnérabilité au virus.

Les utilisateurs doivent être prudents lors du téléchargement de l’application. Il est recommandé de télécharger à partir des magasins d’applications officiels – le fabricant de l’appareil ou le magasin d’applications du système d’exploitation. Là aussi, les utilisateurs doivent vérifier les détails de l’application, le nombre de téléchargements, les avis des utilisateurs, les commentaires et la section « INFORMATIONS SUPPLÉMENTAIRES ».

Seules les autorisations pertinentes doivent être accordées à l’application.

Gardez votre smartphone à jour avec les dernières mises à jour et correctifs Android.

N’ouvrez pas de sites Web non fiables et ne suivez pas de liens non fiables.

Lorsque vous cliquez sur le lien fourni dans les e-mails et SMS non sollicités, faites très attention.