Android dans le collimateur du malware SpyEye

SPITMO détourne les codes d'accès bancaires envoyés par SMS

Mise à jour du 14 septembre 2011 par Idelways

Les concepteurs du célèbre trojan SpyEye, dédié à la cybercriminalité bancaire, étendent ses activités aux smartphones sous Android, où une variante baptisée SPITMO intercepte les SMS que de nombreuses institutions financières utilisent comme une mesure antifraude.

La firme de sécurité américaine Trusteer estime sur son blog qu'il s'agisse là du premier malware Android à se propager sans l'aide du Market de Google ni des boutiques applicatives parallèles.

SPITMO nécessite plus précisément que l'ordinateur de sa victime soit infecté avec la version Desktop de SpyEye.
Cette dernière corrompt le navigateur pour incruster subtilement sur le site de la banque de l'utilisateur, un message suggérant l'installation d'un paquet Android qui assurera la sécurité de son service bancaire mobile.

À partir du moment que l'utilisateur gobe la supercherie et installe manuellement le malware en question, suivant des instructions précises, tous les SMS qu'il reçoit sont continuellement interceptés et envoyés à l’un des centres de contrôle et de commande des attaquants via de simples requêtes GET.

Mais avant une dernière étape est nécessaire pour réussir « leur coup », composer un numéro (325000) afin d'obtenir un code d'activation. Dès lors, les attaquants pourront retirer des fonds ou effectuer des transferts en ligne.

Le malware s'installe sous les appareils en tant que processus appelé « System », invisible sur le dashboard et sur la liste des applications ouvertes (il n’agit ni en tant qu’application, ni en tant que service).

Les chercheurs de Trusteer menés Ayelet Heyman ont infiltré l'un des centres de contrôle et de commande où sont stockées les informations dérobées. Ils ont découvert qu’heureusement peu de victimes ont été pour l'instant compromises. Ce type d'attaques n'en serait donc qu'à ses balbutiements.

Il n'en reste pas moins qu’il s'agit là d'une parade inquiétante contre les mesures de sécurité antienregistreurs de frappe (Keyloggers), qui renouvellent les codes d'accès après chaque utilisation, et les communiquent à l'utilisateur par SMS.

Pour mémoire, SpyEye a fait ses débuts sur les forums underground russes fin 2009, et il n'a pas cessé depuis de soulever les craintes des firmes en sécurité pour sa sophistication qui lui permet jusqu'à agir en tant qu'anti-ZeuS (un trojan bancaire concurrent) pour ne point partager le pactole de ses victimes !

Pour plus d'informations sur les autres menaces de sécurité qui pèsent sur Android, lire notre dossier ci-avant.

Source : Trusteer