Dr.Web, l'éditeur russe de solutions de sécurité informatique, a annoncé avoir détecté un nouveau cheval de Troie baptisé Android.SmsBot.459.origin qui serait en mesure de voler de l'argent des comptes bancaires en ligne puis de cacher les notifications de confirmation des transactions financières qui seront émises par SMS. Pour le moment, seules les banques russes sont concernées.
Le Trojan va infecter les téléphones des utilisateurs via des spam par SMS. Dans certains cas, pour être le plus convaincant possible, le nom du propriétaire du téléphone sera utilisé. Le SMS spam reçu contient un lien qui, s'il est ouvert, forcera le téléchargement d'une application contenant le cheval de Troie sur le dispositif de l'utilisateur à son insu. Si elle est exécutée, l'application nouvellement téléchargée va lancer le processus d'installation du Trojan en se comportant comme si elle provenait d'une source bien connue, dans ce cas, comme une application de client pour un site de publicité en Russie. Si l'utilisateur accepte de l'installer, l'application va immédiatement demander des privilèges d'administrateur afin « d'avoir accès aux codecs vidéo ». Ce message ne va pas disparaître tant que l'utilisateur ne clique pas sur « Activer ».
Une fois installée avec succès, le cheval de Troie va amorcer la communication avec son serveur C & C. La première chose qu'il va faire est d'envoyer toutes sortes de détails concernant le téléphone de l'utilisateur, à commencer par son numéro IMEI, le nom du modèle, la langue du système, le numéro de téléphone mobile, la version du système d'exploitation, et ainsi de suite. Une fois que les données de l'utilisateur sont sur le serveur C & C, le cheval de Troie est ensuite chargé d'analyser le périphérique afin de trouver la liste des applications bancaires qui y sont installées. Pour l'instant, ce cheval de Troie scanne uniquement les applications des banques russes.
Lorsque les applications bancaires sont détectées, en utilisant des opérations pré configurées, le cheval de Troie obtiendra le solde du compte de l'utilisateur, lui permettant ainsi d'avoir le montant des fonds disponibles. Ensuite, grâce à des commandes spéciales et des messages SMS, le cheval de Troie se charge de faire des opérations financières : il vole l'argent de la victime et le déplace vers un autre compte contrôlé par les assaillants. Pour garder toutes ses actions secrètes, il va masquer toutes les alertes SMS entrantes provenant du portail bancaire qui viennent confirmer le bon déroulement des transactions à l'utilisateur.
Les créateurs du malware ont trouvé une façon intelligente de désactiver les alertes sonores, de télécharger les messages SMS sur le serveur C & C pour les supprimer immédiatement sans que l'utilisateur ne s'en rende compte. Dr.Web estime que ce malware Android peut devenir très problématique si jamais il venait à s'étendre aux pays occidentaux ou si les attaquants derrière le logiciel trouvent une manière de l'installer avec des autorisations administrateur sur les appareils infectés, sans avoir besoin de l'intervention de l'utilisateur.
Source : Dr.Web
Et vous ?
Qu'en pensez-vous ? Forum Android 
Envoyé par Shuty
