Developpez.com

Le Club des Développeurs et IT Pro

Android.SmsBot.459.origin : le Trojan Android qui vole de l'argent depuis un compte bancaire en ligne

Et masque les alertes SMS

Le 2015-09-22 15:05:10, par Malick, Community Manager

Dr.Web, l'éditeur russe de solutions de sécurité informatique, a annoncé avoir détecté un nouveau cheval de Troie baptisé Android.SmsBot.459.origin qui serait en mesure de voler de l'argent des comptes bancaires en ligne puis de cacher les notifications de confirmation des transactions financières qui seront émises par SMS. Pour le moment, seules les banques russes sont concernées.

Le Trojan va infecter les téléphones des utilisateurs via des spam par SMS. Dans certains cas, pour être le plus convaincant possible, le nom du propriétaire du téléphone sera utilisé. Le SMS spam reçu contient un lien qui, s'il est ouvert, forcera le téléchargement d'une application contenant le cheval de Troie sur le dispositif de l'utilisateur à son insu. Si elle est exécutée, l'application nouvellement téléchargée va lancer le processus d'installation du Trojan en se comportant comme si elle provenait d'une source bien connue, dans ce cas, comme une application de client pour un site de publicité en Russie. Si l'utilisateur accepte de l'installer, l'application va immédiatement demander des privilèges d'administrateur afin « d'avoir accès aux codecs vidéo ». Ce message ne va pas disparaître tant que l'utilisateur ne clique pas sur « Activer ».

Une fois installée avec succès, le cheval de Troie va amorcer la communication avec son serveur C & C. La première chose qu'il va faire est d'envoyer toutes sortes de détails concernant le téléphone de l'utilisateur, à commencer par son numéro IMEI, le nom du modèle, la langue du système, le numéro de téléphone mobile, la version du système d'exploitation, et ainsi de suite. Une fois que les données de l'utilisateur sont sur le serveur C & C, le cheval de Troie est ensuite chargé d'analyser le périphérique afin de trouver la liste des applications bancaires qui y sont installées. Pour l'instant, ce cheval de Troie scanne uniquement les applications des banques russes.

Lorsque les applications bancaires sont détectées, en utilisant des opérations pré configurées, le cheval de Troie obtiendra le solde du compte de l'utilisateur, lui permettant ainsi d'avoir le montant des fonds disponibles. Ensuite, grâce à des commandes spéciales et des messages SMS, le cheval de Troie se charge de faire des opérations financières : il vole l'argent de la victime et le déplace vers un autre compte contrôlé par les assaillants. Pour garder toutes ses actions secrètes, il va masquer toutes les alertes SMS entrantes provenant du portail bancaire qui viennent confirmer le bon déroulement des transactions à l'utilisateur.

Les créateurs du malware ont trouvé une façon intelligente de désactiver les alertes sonores, de télécharger les messages SMS sur le serveur C & C pour les supprimer immédiatement sans que l'utilisateur ne s'en rende compte. Dr.Web estime que ce malware Android peut devenir très problématique si jamais il venait à s'étendre aux pays occidentaux ou si les attaquants derrière le logiciel trouvent une manière de l'installer avec des autorisations administrateur sur les appareils infectés, sans avoir besoin de l'intervention de l'utilisateur.

Source : Dr.Web

Et vous ?

Qu'en pensez-vous ?

Forum Android
  Discussion forum
7 commentaires
  • Shuty
    Membre éprouvé
    Malgré les nombreux détails, je ne comprends toujours pas comment l'application peut faire des virement.. Quelqu’un en sait davantage ?
    le 22/09/2015 à 17:54
  • Malick
    Community Manager
    Envoyé par Shuty
    Malgré les nombreux détails, je ne comprends toujours pas comment l'application peut faire des virement.. Quelqu’un en sait davantage ?
    Réponse :

    ...grâce à des commandes spéciales et des messages SMS, le cheval de Troie se charge de faire des opérations financières : il vole l'argent de la victime et le déplace vers un autre compte contrôlé par les assaillants. Pour garder toutes ses actions secrètes, il va masquer masquer toutes les alertes SMS entrants provenant du portail bancaire qui viennent confirmer le bon déroulement des transactions à l'utilisateur.
    le 22/09/2015 à 21:17
  • tchize_
    Expert éminent sénior
    J'ai toujours trouvé que les systèmes de homebanking sur téléphone étaient très légers point de vue sécurité par rapport à leur pendant desktop. Visiblement j'avais raison de ne jamais activer ces trucs.
    le 22/09/2015 à 23:13
  • eulbobo
    Membre chevronné
    Ca nécessite tout de même de télécharger volontairement une application non signée dont on a reçu un lien par SMS... Et donc d'avoir désactivé la fonction qui permet d'éviter que ce genre d'application ne puisse se lancer...

    Exactement le même système que le mail avec un zip nommé "photo de vacances" si vous voyez ce que je veux dire...
    le 23/09/2015 à 9:14
  • AoCannaille
    Expert confirmé
    Envoyé par tchize_
    J'ai toujours trouvé que les systèmes de homebanking sur téléphone étaient très légers point de vue sécurité par rapport à leur pendant desktop.
    Grave! sous à l'époque sous Windows Phone 7, j'avais une application pour accèder à mes compte (en "lecture seule" par contre, pas de virement, toussa toussa...) et elle était dite sécurisée, elle demandait des mdp a tout va.... 3 en tout en fait : celui de la SIM (je sais pas comment il le connaissait) imposait un mot de passe de sessions (pour déverrouillait le téléphone) et le demandait (en plus du téléphone donc) et enfin le mdp d'accès au compte en ligne.

    L'application marchait bien, Windows Phone 8 est sorti, et ils ont abandonné l'appli. Un jour ils ont passé leur API de leur web service en HTTPS et l'application n'a plus marché. Pour le commun des mortels le message d'erreur était incompréhensible mais pour moi c'était clair : impossible de se connecter en HTTP : L'application le faisait depuis le début.

    Donc si quelqu'un avait écouté sur le réseaux les échanges avec ma banque, avec mon numéro de compte et le 3e mdp, ils auraient eu accès a l'interface web qui elle pouvait faire des virement....

    j'ai gueullé dans l'agence mais ça servait à rien les pauvres agents n'y comprenaient rien... (les même qui essayent de me fourguer les cartes sans contact d'ailleurs.)

    Depuis je suis comme toi : application bancaire? non merci.
    le 23/09/2015 à 11:10
  • Teekeasy
    Membre à l'essai
    eulbobo
    « Ca nécessite tout de même de télécharger volontairement une application non signée dont on a reçu un lien par SMS... Et donc d'avoir désactivé la fonction qui permet d'éviter que ce genre d'application ne puisse se lancer... »
    Tout à fait d’accord… pour ma part, les apps non signées vont directement « à la poubelle »
    le 24/09/2015 à 10:40
  • tchize_
    Expert éminent sénior
    Envoyé par eulbobo
    Ca nécessite tout de même de télécharger volontairement une application non signée dont on a reçu un lien par SMS... Et donc d'avoir désactivé la fonction qui permet d'éviter que ce genre d'application ne puisse se lancer...

    Exactement le même système que le mail avec un zip nommé "photo de vacances" si vous voyez ce que je veux dire...
    Heuuu d'abord rien ne dit que le même genre d'opération ne peut pas avoir lieu avec une application sur le store. Ce ne serait pas la première fois qu'une application du store serait verollée.
    Concernant les droits, vu le nombre de jeux qui demandent aujourd'hui des droits excessif, une demande admin a l'air presque normale
    Ensuite, même avec une machine complètement verollée, impossible de tirer de l'argent sur mon compte avec l'appli desktop. Il faut mettre la carte de crédit et tapper le pin dans la calculette pour faire la moindre opération. Un appli malveillante peut faire ce qu'elle veut, elle n'a pas accès à la calculette... Mais pour les téléphone, on a sacrifié la sécurité à la facilité...
    le 25/09/2015 à 19:42
  Poster une réponse