Les chercheurs en sécurité de Cybereason Nocturnus mettent en garde contre un logiciel malveillant Android récemment découvert qui cible les utilisateurs de près de 300 applications financières aux États-Unis et en Europe.

Surnommée EventBot, la menace semble être nouvellement développée, car son code diffère considérablement de celui des autres logiciels malveillants Android. En outre, les chercheurs pensent que ce cheval de Troie bancaire et infostealer est en développement actif et évolue rapidement.

Le cheval de Troie a été conçu pour abuser des fonctionnalités d’accessibilité d’Android afin de voler des informations sur les utilisateurs et les appareils, ainsi que des données provenant de diverses applications, notamment des logiciels financiers ciblés et des messages SMS.

EventBot, souligne Cybereason Nocturnus, peut potentiellement voler des données commerciales clés, étant donné que les appareils mobiles ont tendance à stocker beaucoup de données commerciales en plus des données personnelles, en particulier dans les organisations qui ont une politique de mise en place de votre propre appareil.

Une fois installée, la menace demande un grand nombre d’autorisations sur l’appareil, telles que la possibilité d’afficher au-dessus d’autres applications, de lire le stockage externe, d’installer des packages, d’ouvrir des sockets réseau, de recevoir des messages SMS ou de démarrer immédiatement après le démarrage, et demande à l’utilisateur l’accès aux services d’accessibilité.

Un fichier de configuration que le malware récupère comprend une liste d’applications ciblées, dont 185 applications bancaires (pour les banques en Italie, au Royaume-Uni, en Allemagne, en France, en Espagne, aux États-Unis, en Roumanie, en Irlande, en Inde, en Autriche, en Suisse, en Australie et en Pologne), et 111 applications financières mondiales telles que Paypal Business, Revolut, Barclays, UniCredit, CapitalOne UK, HSBC UK, Santander UK, TransferWise, Coinbase et paysafecard.

Le cheval de Troie interroge une liste des applications installées et des informations système et envoie toutes les données à son serveur de commande et de contrôle (C&C) sous une forme cryptée. Il peut également analyser les messages SMS, ce qui lui permet de contourner les protections d’authentification à deux facteurs.

Une fonction appelée parseCommand permet à la menace de mettre à jour les fichiers de configuration, les webinjects, les C & C, etc. Le malware peut …

Voir la source de cette publication