Cheval de Troie Rotexy : un virus bancaire et bloqueur

23 Nov 2018

Le malware mobile Rotexy, un croisement entre un cheval de Troie bancaire et un ransomware bloqueur, a récemment commencé à s’étendre. En août et septembre, nos experts ont enregistré plus de 40 000 tentatives cherchant à implanter cette application malveillante dans les smartphones Android. Nous avons déjà publié certains détails techniques, et la biographie de ce virus sur Securelist. Dans cet article, nous allons explorer les sources d’infection et comment le supprimer gratuitement, en n’utilisant que quelques simples SMS.

Fonctionnement du cheval de Troie bancaire Rotexy

Rotexy se propage par des SMS qui contiennent des liens, et un texte accrocheur, qui demandent aux personnes de suivre ces liens et de télécharger l’application. Dans certains cas, ces messages sont envoyés depuis le numéro de téléphone d’un ami. C’est pourquoi les gens cliquent généralement sur ces liens.

Après avoir infecté l’appareil, le cheval de Troie est très actif puisqu’il prépare le lieu de travail pour les actions à mener ultérieurement. Tout d’abord, Rotexy fait une analyse pour savoir quel appareil il a infecté. Il le fait pour ralentir le travail des éditeurs d’antivirus. Si le malware détecte qu’il s’exécute sur un émulateur, et non sur un vrai smartphone, il ne fait que se répéter éternellement à travers le processus de lancement de l’application. Il se produit la même chose avec la version actuelle de Rotexy si l’appareil ne se trouve pas en Russie.

Ce n’est qu’après avoir vérifié que l’appareil répond à ces quelques critères basiques, que le cheval de Troie passe à l’action. Il demande d’abord d’avoir les droits d’administrateur. En théorie, l’utilisateur peut refuser de les lui donner, mais la demande va continuer d’apparaître, et compliquer l’utilisation du smartphone. Après avoir réussi à se frayer un chemin dangereux, Rotexy indique que le téléchargement de l’application a échoué, et cache l’icône.

Après quoi le malware contacte ses propriétaires, et leur fournir les informations sur l’appareil. En échange, il reçoit des instructions, et un ensemble de modèles et de textes. Rotexy communique par défaut et directement avec le serveur C&C, mais ses créateurs ont inclus d’autres méthodes qui permettent de lui envoyer des ordres via Google Cloud Messaging, et par SMS.

Rotexy, un voleur par SMS

Si l’on considère les SMS, Rotexy ne peut plus s’en passer. Lorsqu’un message est envoyé au téléphone infecté, le malware active le mode silencieux pour que la victime ne remarque pas qu’elle a reçu un SMS. Le cheval de Troie intercepte alors le message, le compare aux modèles que le serveur C&C lui a envoyés, et s’il contient des informations intéressantes, comme les derniers chiffres d’une carte bancaire qui figure dans la notification par SMS des services bancaires mobiles, il le sauvegarde, et le fait suivre au serveur. De plus, le malware peut répondre à ces messages au nom du propriétaire du smartphone : ces réponses figurent également dans les modèles, pour que le malware puisse les utiliser si besoin.

Si pour une raison quelconque le serveur C&C n’envoie pas de modèles ni d’instructions spécifiques, Rotexy ne fait que sauvegarder toutes les correspondances sur le smartphone infecté, puis les fait suivre à ses maîtres.

En plus de ça, les cybercriminels peuvent ordonner au malware d’envoyer un lien lui permettant de télécharger tous les contacts du répertoire. Ce système est un des vecteurs principaux de la propagation du cheval de Troie Rotexy.

Rotexy, un cheval de Troie bancaire

La manipulation de SMS n’est pas le seul tour que le malware a dans son sac, et il ne s’agit pas non plus de sa fonction principale. Son objectif est de gagner de l’argent pour ses créateurs, principalement en volant les données de cartes bancaires. Pour ce faire, il superpose une page d’hameçonnage qui contient du texte sur l’écran, tout en suivant les instructions relatives à l’interception de SMS. L’aspect de la page peut changer, mais l’objectif principal est de dire au propriétaire du smartphone qu’un virement l’attend, et qu’il doit saisir les informations de sa carte bancaire pour le recevoir.

Pour s’assurer que la personne va le faire, les créateurs du malware ont intégré un contrôle qui valide le numéro de la carte. Il vérifie d’abord que le numéro de la carte est correct. Au cas où vous ne le sauriez pas, les chiffres des cartes bancaires ne sont pas choisis au hasard, mais créés selon certaines règles. Ensuite, Rotexy extrait les quatre derniers chiffres du numéro de la carte en interceptant le SMS de votre banque, et les compare à ceux saisis sur la page d’hameçonnage. Si quelque chose ne correspond pas, le malware envoie un message d’erreur, et demande à la personne de saisir les bons chiffres.

Rotexy, un ransomware

Le serveur C&C envoie parfois d’autres instructions à Rotexy pour qu’il agisse en suivant un scénario différent. Au lieu d’utiliser une page d’hameçonnage, il bloque l’écran du smartphone, et affiche un message demandant le paiement d’une amende pour avoir  » visionné régulièrement des vidéos interdites « .

Rotexy imite l’installation d’une mise à jour, puis bloque l’écran du smartphone en demandant à la personne de payer une amende pour avoir « visionné régulièrement des vidéos interdites ».

 

La preuve en image est jointe au message, et il s’agit de la photo d’une vidéo pornographique. Comme c’est souvent le cas avec les ransomwares mobiles, les cybercriminels se font passer pour un organisme officiel. Rotexy mentionne notamment le « FSB Internet Control », mais il se trouve qu’aucun organisme de ce nom n’existe en Russie.

Comment débloquer un smartphone infecté par le cheval de Troie Rotexy

La bonne nouvelle est que vous pouvez débloquer votre smartphone infecté, et vous débarrassez du « virus » sans l’aide d’un expert. Comme indiqué ci-dessus, Rotexy peut recevoir des ordres par SMS. Ce qui est bien, c’est que ces messages n’ont pas besoin d’être envoyés par un numéro de téléphone en particulier ; n’importe quel numéro peut le faire. Cela signifie que si votre smartphone est bloqué, et que vous ne pouvez pas fermer la fenêtre du message malveillant, vous n’avez besoin que d’un autre téléphone, celui d’un ami ou d’une personne de votre famille par exemple, puis vous devez suivre ces quelques instructions :

  • Envoyez un SMS, avec le texte « 393838 », à votre numéro de téléphone. Le malware va l’interpréter comme un ordre lui demandant de modifier l’adresse du serveur C&C, de tout supprimer, et ne va plus obéir aux cybercriminels.
  • Ensuite, envoyez « 3458 » à votre numéro. Ce message va lui retirer les droits d’administrateurs, et mettre un terme au contrôle qu’il avait sur votre smartphone.
  • Enfin, envoyez-vous un SMS disant « stop_blocker » : cet ordre va obliger Rotexy à retirer le site, ou la bannière, qui bloque l’écran.
  • Si après cela le cheval de Troie commence à vous harceler pour obtenir les droits d’administrateur, redémarrez votre appareil en mode sans échec (cliquez ici pour savoir comment le faire), entrez dans Gestion des applications ou Applications et notifications (les diverses versions d’Android configurent les paramètres différemment), et effacer le malware de l’appareil, cette fois sans résistance. C’est tout !

Il convient de souligner que ces instructions permettant de débloquer un smartphone, reposent sur l’analyse de la version actuelle de Rotexy. Les choses peuvent être différentes dans les versions ultérieures. Vous pouvez obtenir plus de renseignements techniques sur les chevaux de Troie en lisant ce rapport publié sur Securelist.

Comment se protéger de Rotexy, et d’autres chevaux de Troie mobiles

Avant de conclure, nous devrions vous rappeler que vous économiseriez du temps, et seriez moins nerveux, si vous empêchiez tout simplement le malware d’accéder à votre smartphone. Il n’est pas difficile d’éviter une infection, et il s’agit surtout de suivre certaines règles assez simples :

  • Ne cliquez pas sur les liens suspects envoyés par message. Même si vous êtes curieux, et que le SMS semble avoir été envoyé par un ami, vérifiez d’abord qu’il en est vraiment l’expéditeur.
  • Utilisez seulement Google Play pour télécharger les applications Android. Il peut être utile d’entrer dans les paramètres de votre smartphone, et de bloquer l’installation de programmes venant de sources inconnues.
  • Installez un antivirus pour mobile de confiance, pour qu’il vous protège des malwares, même lorsque vous touchez, ou cliquez par erreur sur quelque chose que vous ne devriez pas.