Les trojan banker et stealer sur Android

[Malekal_morte]

Un article intéressant de Kasperksy qui récapitule les évolutions du trojan bancaire AndroidOS.Acecard qui repose sur la structure GM Bot. Il s'agit d'un stealer, c'est à dire qu'il a pour but de voler des comptes d'accès en ligne ( ex: Google, Paypal, ... ou des établissements financiers )

En mai 2014, la porte dérobée "Backdoor.AndroidOS.Torec" connait des évolutions, elle vise désormais les services de Google afin de récupérer des informations à travers des fenêtres d'hameçonnage ( phishing ). Cette nouveauté a d'ailleurs contraint Kaspersky à lui créer une nouvelle famille : Acecard.

acecard_evo_eng_1.png

Acecard, comme la plupart des chevaux de Troie sous Android est capable d'intercepter et d'envoyer des SMS mais l'évolution majeure est la possibilité d'ouvrir des fenêtres pour effectuer des hameçonnages sur divers services y compris des applications bancaires.

Ici, de fausses pages de demande d'identifiants sur Gmail ou Twitter.

acecard_evo_eng_10.png

acecard_evo_eng_11.png

A partir d'octobre 2014, des campagnes pour Trojan-Banker.AndroidOS.Acecard ont été repérées en Australie, en Allemagne et en France. Jusque là, Trojan-Banker.AndroidOS.Acecard ne visait que la Russie et ne représentait que 10% des victimes. Novembre 2014, en plus des applications de réseaux sociaux, Acecard a visé des applications bancaires australiennes en ouvrant de faux popups d'authentification.

En août 2015, c'est au tour du géant Paypal d'être dans le viseur.

acecard_evo_eng_14.png

L'activité des détections Kaspersky, le nombre de nouveaux fichiers par mois.

acecard_evo_eng_15.png

En septembre 2015, Acecard vise des banques Allemandes et Néo-Zélandaises en plus de banques Australiennes, au total 13 applications bancaires sont prises en charge. Il est désormais capable de rediriger les SMS reçus des services bancaires vers des serveurs contrôlés. Cette technique est utilisée pour effectuer les confirmations des paiements via un code PIN reçu sur les mobiles.

En octobre 2015, des banques américaines sont ajoutées, le nombre d'applications bancaires est à 24. C'est en décembre 2015 que les USA sont finalement visés par des campagnes Acecard.

La répartition des campagnes :

Kaspersky_acecard_evo_eng.png

Kaspersky_Infographics_Acecard_Timeline.png

Si les évolutions sont si nombreuses c'est aussi et surtout parce que les codes sources du malware pour mobile GM Bot ont fuités.

Plus d'informations sur les menaces informatiques sur Android : Les virus sur Android.

[Malekal_morte]

McAfee a publié une entrée sur son blog concernant Android/SpyLocker. Ce dernier vise depuis peu des banques européennes. Il peut s'agir du même Acecard mentionné ci-dessus mais.. je ne suis pas sûr. La distribution est la même que les ransomware gendarmerie Android dit "PornDroid" avec des pornvideo.apk.

Un faux Flash Player ou de fausses applications pornographiques.

Spylocker_FlashPlayerIcon.png

Spylocker_DevAdmin.png

Actif, le malware affiche de fausses pages Google App, Amazon, Ebay.. et récupère les comptes.

SpyLocker_GooglePhishing_ValitationOfFields-211x300.png

Les établissements "BNP Parisbas" & "Crédit Mutuelle" sont dans le viseur des attaquants :

SpyLocker_FrenchBanks-1024x668.png

Il est capable de récupérer la liste des contacts, SMS/MMS envoyés, SMS/MMS reçus, etc...
Bref! Quasiment tout ce qui transite au niveau du smartphone lui passe dans les mains :o

[Malekal_morte]

Au tour d'Avast! pour publier un Trojan Banker visant Android nommé Catelites Bot.
La distribution de ce trojan est classique :

• Adware menant à des liens malveillants (malvertisements),
• site de phishing.
• faux site de téléchargement d'applications (non GooglePlay)

Une fois l'application malveillante installée, une icône System Application est créée sur le bureau.
En exécutant celle-ci, les droits administrateurs sont demandés.

trojan-catelites.png

trois nouvelles icônes sont créées : Gmail, Google Play, and Chrome.

trojan-catelites-2.png

Si l'utilisateur exécute ne des trois applications, ces derniers se font passer pour Google et demande de saisir es informations bancaires.

trojan-catelites-3.png

Le trojan Catelites est aussi capable de viser plus de 2000 applications bancaires.
Lorsque vous exécutez celle-ci sur votre téléphone, le malware place une fausse page d'identification pour transmettre ces derniers aux cybercriminels.



source : https://blog.avast.com/consumers-beware ... nking-apps