L’équipe Global Research and Analysis Team (GReAT) de Kaspersky a découvert une nouvelle campagne de logiciels malveillants sur appareils Android, par laquelle des cybercriminels diffusent le cheval de Troie BeatBanker dissimulé sous l'apparence de l'application Starlink. Les hackers ciblent principalement le Brésil, néanmoins, les experts Kaspersky n'excluent pas que d'autres pays puissent également être exposés à la menace. Le cheval de Troie utilise un mineur de cryptomonnaie Monero et installe en complément un outil d'administration à distance (RAT) nommé BTMOB sur les appareils infectés. Pour assurer sa persistance, BeatBanker utilise un mécanisme peu commun, impliquant un fichier audio quasiment inaudible diffusé en boucle.
« Au départ, nous avons constaté que BeatBanker était distribué sous l’apparence d'une application de services publics : il installait un cheval de Troie bancaire en plus d'un mineur de cryptomonnaie. Cependant, nos récents efforts de détection ont mis au jour une nouvelle campagne impliquant une autre variante de BeatBanker qui déploie le RAT BTMOB au lieu du module bancaire. Les attaquants semblent utiliser un nouvel appât avec l'application Starlink pour atteindre davantage de victimes dans différents pays. Par conséquent, il est important que les utilisateurs restent vigilants et utilisent des solutions avancées pour protéger leurs smartphones », commente Fabio Assolini, Head of the Americas & Europe units chez Kaspersky GReAT.
Vecteur d'infection initial
Les experts Kaspersky estiment que les cybercriminels distribuent une fausse application Starlink contenant le cheval de Troie BeatBanker via des pages de phishing qui imitent le Google Play Store. Après son installation sur un appareil compromis, le Trojan affiche une interface utilisateur qui simule également celle de Google Play. Les cybercriminels incitent ainsi les victimes à accorder des autorisations d'installation, permettant ainsi le téléchargement d'autres charges malveillantes cachées.
Minage de cryptomonnaie et le module RAT BTMOB
Lorsqu'un utilisateur clique sur «mettre à jour » sur la fausse page Google Play, un mineur de cryptomonnaie Monero se déploie. BeatBanker surveille le pourcentage de la batterie et la température du smartphone infecté, ainsi que l'activité de l'utilisateur, après quoi le mineur caché est lancé ou arrêté.
Le cheval de Troie Android installe également sur l'appareil compromis le RAT BTMOB, qui permet un contrôle à distance complet et est commercialisé sous forme de Malware-as-a-Service (logiciel malveillant en tant que service). Il est capable d'octroyer automatiquement des autorisations, de masquer les notifications système et dispose de mécanismes conçus pour capturer les identifiants de verrouillage d'écran, notamment les codes
PIN, les schémas et les mots de passe. Le logiciel malveillant donne également aux cybercriminels l'accès aux caméras avant et arrière, à la surveillance de la localisation GPS et permet la collecte constante de données sensibles.
Pour assurer sa persistance et empêcher toute tentative de désinstallation, BeatBanker maintient une notification fixe au premier plan et active un service de premier plan avec une lecture multimédia silencieuse. Cette tactique est conçue pour empêcher le système d'exploitation de supprimer le processus malveillant.
Les produits de Kaspersky détectent cette menace sous les appellations HEUR:Trojan-Dropper.AndroidOS.BeatBanker et HEUR:Trojan-Dropper.AndroidOS.Banker.*.
Pour plus de renseignements, veuillez consulter l'article sur Securelist.
Afin de rester protégé face à ces menaces, Kaspersky recommande de :
- Télécharger des applications seulement depuis les boutiques officielles pour smartphones, telles que l'App Store d'Apple et le Google Play Store, tout en gardant à l'esprit que même le téléchargement depuis des boutiques officielles n'est pas toujours sans risque.
- Vérifier les avis sur les applications, utilisez uniquement des liens provenant de sites officiels et installez un logiciel de sécurité fiable, capable de détecter et de bloquer toute activité malveillante si une application s'avère frauduleuse.
- Vérifiez les autorisations des applications utilisées et réfléchissez bien avant de les accorder, en particulier lorsqu'il s'agit d'autorisations à haut risque telles que les services d'accessibilité.
- Mettre à jour votre système d'exploitation et les applications importantes dès que des mises à jour sont disponibles. De nombreux problèmes de sécurité peuvent être résolus en installant les versions mises à jour des logiciels.
À propos de l'équipe Global Research & Analysis Team
Créée en 2008, l'équipe Global Research & Analysis (GReAT) opère au cœur même de Kaspersky, détectant les APT, les campagnes de cyber espionnage, les principaux logiciels malveillants, les ransomwares et les tendances souterraines de la cybercriminalité à travers le monde. Aujourd'hui, GReAT compte plus de 35 experts travaillant à l'échelle mondiale, en Europe, en Russie, en Amérique latine, en Asie et au Moyen-Orient. Ces professionnels talentueux de la sécurité assurent le leadership de l'entreprise en matière de recherche et d'innovation dans le domaine des logiciels malveillants, apportant une expertise, une passion et une curiosité inégalées à la découverte et à l'analyse des cybermenaces.
À propos de Kaspersky
Kaspersky est une société internationale de cybersécurité et de protection de la vie privée fondée en 1997. Avec à ce jour plus d'un milliard d'appareils protégés contre les cybermenaces émergentes et les attaques ciblées, l'expertise de Kaspersky en matière de sécurité et de renseignements sur les menaces est constamment convertie en solutions et services innovants pour protéger les particuliers, les entreprises, les infrastructures critiques et les autorités publiques dans le monde entier. Le large portefeuille de solutions de cybersécurité de Kaspersky inclut la protection avancée de la vie numérique pour les appareils personnels, des produits et services de sécurité spécialisés pour les entreprises, ainsi que des solutions de Cyber Immunité pour lutter contre les menaces numériques sophistiquées, en constante évolution. Kaspersky aide des millions de particuliers et plus de 200 000 entreprises à protéger ce qui compte le plus pour eux. Pour en savoir plus, consultez le site https://www.kaspersky.fr.
