{"id":11197,"date":"2018-11-23T11:14:56","date_gmt":"2018-11-23T11:14:56","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=11197"},"modified":"2019-11-22T08:55:29","modified_gmt":"2019-11-22T08:55:29","slug":"rotexy-banker-blocker","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/rotexy-banker-blocker\/11197\/","title":{"rendered":"Cheval de Troie Rotexy : un virus bancaire et bloqueur"},"content":{"rendered":"

Le malware mobile Rotexy, un croisement entre un cheval de Troie bancaire et un ransomware bloqueur<\/a>, a r\u00e9cemment commenc\u00e9 \u00e0 s\u2019\u00e9tendre. En ao\u00fbt et septembre, nos experts ont enregistr\u00e9 plus de 40 000 tentatives cherchant \u00e0 implanter cette application malveillante dans les smartphones Android. Nous avons d\u00e9j\u00e0 publi\u00e9 certains d\u00e9tails techniques, et la biographie de ce virus sur Securelist<\/a>. Dans cet article, nous allons explorer les sources d\u2019infection et comment le supprimer gratuitement, en n\u2019utilisant que quelques simples SMS.<\/p>\n

Fonctionnement du cheval de Troie bancaire Rotexy<\/h2>\n

Rotexy se propage par des SMS qui contiennent des liens, et un texte accrocheur, qui demandent aux personnes de suivre ces liens et de t\u00e9l\u00e9charger l\u2019application. Dans certains cas, ces messages sont envoy\u00e9s depuis le num\u00e9ro de t\u00e9l\u00e9phone d\u2019un ami. C\u2019est pourquoi les gens cliquent g\u00e9n\u00e9ralement sur ces liens.<\/p>\n

Apr\u00e8s avoir infect\u00e9 l\u2019appareil, le cheval de Troie est tr\u00e8s actif puisqu\u2019il pr\u00e9pare le lieu de travail pour les actions \u00e0 mener ult\u00e9rieurement. Tout d\u2019abord, Rotexy fait une analyse pour savoir quel appareil il a infect\u00e9. Il le fait pour ralentir le travail des \u00e9diteurs d\u2019antivirus. Si le malware d\u00e9tecte qu\u2019il s\u2019ex\u00e9cute sur un \u00e9mulateur, et non sur un vrai smartphone, il ne fait que se r\u00e9p\u00e9ter \u00e9ternellement \u00e0 travers le processus de lancement de l\u2019application. Il se produit la m\u00eame chose avec la version actuelle de Rotexy si l\u2019appareil ne se trouve pas en Russie.<\/p>\n

Ce n\u2019est qu\u2019apr\u00e8s avoir v\u00e9rifi\u00e9 que l\u2019appareil r\u00e9pond \u00e0 ces quelques crit\u00e8res basiques, que le cheval de Troie passe \u00e0 l\u2019action. Il demande d\u2019abord d\u2019avoir les droits d\u2019administrateur<\/a>. En th\u00e9orie, l\u2019utilisateur peut refuser de les lui donner, mais la demande va continuer d\u2019appara\u00eetre, et compliquer l\u2019utilisation du smartphone. Apr\u00e8s avoir r\u00e9ussi \u00e0 se frayer un chemin dangereux, Rotexy indique que le t\u00e9l\u00e9chargement de l\u2019application a \u00e9chou\u00e9, et cache l\u2019ic\u00f4ne.<\/p>\n

Apr\u00e8s quoi le malware contacte ses propri\u00e9taires, et leur fournir les informations sur l\u2019appareil. En \u00e9change, il re\u00e7oit des instructions, et un ensemble de mod\u00e8les et de textes. Rotexy communique par d\u00e9faut et directement avec le serveur C&C, mais ses cr\u00e9ateurs ont inclus d\u2019autres m\u00e9thodes qui permettent de lui envoyer des ordres via Google Cloud Messaging, et par SMS.<\/p>\n

Rotexy, un voleur par SMS<\/h3>\n

Si l\u2019on consid\u00e8re les SMS, Rotexy ne peut plus s\u2019en passer. Lorsqu\u2019un message est envoy\u00e9 au t\u00e9l\u00e9phone infect\u00e9, le malware active le mode silencieux pour que la victime ne remarque pas qu\u2019elle a re\u00e7u un SMS. Le cheval de Troie intercepte alors le message, le compare aux mod\u00e8les que le serveur C&C lui a envoy\u00e9s, et s\u2019il contient des informations int\u00e9ressantes, comme les derniers chiffres d\u2019une carte bancaire qui figure dans la notification par SMS des services bancaires mobiles, il le sauvegarde, et le fait suivre au serveur. De plus, le malware peut r\u00e9pondre \u00e0 ces messages au nom du propri\u00e9taire du smartphone\u00a0: ces r\u00e9ponses figurent \u00e9galement dans les mod\u00e8les, pour que le malware puisse les utiliser si besoin.<\/p>\n

Si pour une raison quelconque le serveur C&C n\u2019envoie pas de mod\u00e8les ni d\u2019instructions sp\u00e9cifiques, Rotexy ne fait que sauvegarder toutes les correspondances sur le smartphone infect\u00e9, puis les fait suivre \u00e0 ses ma\u00eetres.<\/p>\n

En plus de \u00e7a, les cybercriminels peuvent ordonner au malware d\u2019envoyer un lien lui permettant de t\u00e9l\u00e9charger tous les contacts du r\u00e9pertoire. Ce syst\u00e8me est un des vecteurs principaux de la propagation du cheval de Troie Rotexy.<\/p>\n

Rotexy, un cheval de Troie bancaire<\/h3>\n

La manipulation de SMS n\u2019est pas le seul tour que le malware a dans son sac, et il ne s\u2019agit pas non plus de sa fonction principale. Son objectif est de gagner de l\u2019argent pour ses cr\u00e9ateurs, principalement en volant les donn\u00e9es de cartes bancaires. Pour ce faire, il superpose une page d\u2019hame\u00e7onnage qui contient du texte sur l\u2019\u00e9cran, tout en suivant les instructions relatives \u00e0 l\u2019interception de SMS. L\u2019aspect de la page peut changer, mais l\u2019objectif principal est de dire au propri\u00e9taire du smartphone qu\u2019un virement l\u2019attend, et qu\u2019il doit saisir les informations de sa carte bancaire pour le recevoir.<\/p>\n

Pour s\u2019assurer que la personne va le faire, les cr\u00e9ateurs du malware ont int\u00e9gr\u00e9 un contr\u00f4le qui valide le num\u00e9ro de la carte. Il v\u00e9rifie d\u2019abord que le num\u00e9ro de la carte est correct. Au cas o\u00f9 vous ne le sauriez pas, les chiffres des cartes bancaires ne sont pas choisis au hasard, mais cr\u00e9\u00e9s selon certaines r\u00e8gles. Ensuite, Rotexy extrait les quatre derniers chiffres du num\u00e9ro de la carte en interceptant le SMS de votre banque, et les compare \u00e0 ceux saisis sur la page d\u2019hame\u00e7onnage. Si quelque chose ne correspond pas, le malware envoie un message d\u2019erreur, et demande \u00e0 la personne de saisir les bons chiffres.<\/p>\n

Rotexy, un ransomware<\/h3>\n

Le serveur C&C envoie parfois d\u2019autres instructions \u00e0 Rotexy pour qu\u2019il agisse en suivant un sc\u00e9nario diff\u00e9rent. Au lieu d\u2019utiliser une page d\u2019hame\u00e7onnage, il bloque l\u2019\u00e9cran du smartphone, et affiche un message demandant le paiement d\u2019une amende pour avoir \u00a0\u00bb\u00a0visionn\u00e9 r\u00e9guli\u00e8rement des vid\u00e9os interdites\u00a0\u00ab\u00a0.<\/p>\n

\"\"

Rotexy imite l\u2019installation d\u2019une mise \u00e0 jour, puis bloque l\u2019\u00e9cran du smartphone en demandant \u00e0 la personne de payer une amende pour avoir \u00ab\u00a0visionn\u00e9 r\u00e9guli\u00e8rement des vid\u00e9os interdites\u00a0\u00bb.<\/p><\/div>\n

\u00a0<\/p>\n

La preuve en image est jointe au message, et il s\u2019agit de la photo d\u2019une vid\u00e9o pornographique. Comme c\u2019est souvent le cas avec les ransomwares mobiles, les cybercriminels se font passer pour un organisme officiel. Rotexy mentionne notamment le \u00ab\u00a0FSB Internet Control\u00a0\u00bb, mais il se trouve qu\u2019aucun organisme de ce nom n\u2019existe en Russie.<\/p>\n

Comment d\u00e9bloquer un smartphone infect\u00e9 par le cheval de Troie Rotexy<\/h2>\n

La bonne nouvelle est que vous pouvez d\u00e9bloquer votre smartphone infect\u00e9, et vous d\u00e9barrassez du \u00ab\u00a0virus\u00a0\u00bb sans l\u2019aide d\u2019un expert. Comme indiqu\u00e9 ci-dessus, Rotexy peut recevoir des ordres par SMS. Ce qui est bien, c\u2019est que ces messages n\u2019ont pas besoin d\u2019\u00eatre envoy\u00e9s par un num\u00e9ro de t\u00e9l\u00e9phone en particulier\u00a0; n\u2019importe quel num\u00e9ro peut le faire. Cela signifie que si votre smartphone est bloqu\u00e9, et que vous ne pouvez pas fermer la fen\u00eatre du message malveillant, vous n\u2019avez besoin que d\u2019un autre t\u00e9l\u00e9phone, celui d\u2019un ami ou d\u2019une personne de votre famille par exemple, puis vous devez suivre ces quelques instructions\u00a0:<\/p>\n