Le 21 mars 2019

Doctor Web examine le Trojan bancaire Flexnet qui menace les utilisateurs d'appareils Android. Ce malware vole de l'argent non seulement des cartes bancaires, mais également des comptes de téléphones mobiles. En utilisant ce programme malveillant, les pirates paient des jeux en ligne, des services d'hébérgement web et d'autres service en ligne.

Flexnet a été créé à la base du Trojan GM Bot examiné par les analystes de Doctor Web en Février 2015. Le code source de l'application malveillante a été publié en accès libre en 2016. Peu de temps après, les premières versions de Flexnet utilisant le code des auteurs de GM Bot sont apparues. Les attaques ciblant les propriétaires de Smartphones et tablettes Android menées en utilisant ce Trojan ne cessent pas.

Les pirates diffusent le banker Flexnet via des spams envoyés par SMS. Ces messages proposent aux victimes potentielles de visiter un lien et de télécharger un programme ou un jeu. Le cheval de Troie se déguise en applications "My friends", GTA V, ou bien en des outils permettant de promouvoir des comptes dans les réseaux sociaux Instagram ou Vkontakte, ainsi que d'autres logiciels.

A son lancement, le banker demande un accès aux fonctionnalités de l'administrateur de l'appareil en affichant une fenêtre de dialogue standard. Si la victime lui donne les privilèges demandés, le malware affiche un message d'erreur et retire son icône de l'écran des applications. Ainsi, il tente de se cacher de l'utilisateur afin d'empêcher sa suppression.

Par rapport aux Trojans bancaires modernes, les fonctionnalités de Flexnet sont très limitées. Le cheval de Troie est capable d'intercepter et d'envoyer des messages SMS et d'effectuer des demandes USSD. Cependant, ces fonctions suffisent pour qu'il puisse voler de l'argent en utilisant différents schémas frauduleux.

L'un d'eux consiste à recharger des comptes relatifs à des jeux en ligne à l'aide de SMS. Ce schéma fonctionne de la manière suivante : Le cheval de Troie vérifie le solde de la carte bancaire d'un utilisateur en envoyant une demande SMS au système de banking mobile. Puis il intercepte un message de réponse contenant des informations sur le solde et transmet ces informations aux cybercriminels. Les pirates demandent alors de recharger le compte associé à un jeu qui les intéresse. Dans cette demande, ils indiquent le numéro de téléphone de la victime et un montant à verser. A la suite de ces opérations, l'utilisateur reçoit un SMS avec un code de confirmation. Le Trojan intercepte ce SMS et transmet son contenu aux pirates, ces derniers donnent au banker une commande d'envoyer un SMS avec le code reçu afin de confirmer l'opération.

Voici des exemples illustrant comment cette méthode est utilisée pour voler de l'argent :

Les autres schémas frauduleux sont réalisés d'une manière similaire. Par exemple, les pirates peuvent payer les services d’hébergeurs Web en utilisant l'argent des comptes liés aux téléphones mobiles de leurs victimes. Pour ce faire, le Trojan envoie un SMS avec les paramètres correspondants vers des numéros spécifiques.

Même si le compte d'une victime potentielle n’est pas créditeur, les pirates sont en mesure de voler de l'argent. Ils exploitent une option tarifaire des opérateurs mobiles appelée " Paiement promis ", qui permet de payer des services à crédit. Comme dans d'autres cas, les cybercriminels commandent au Trojan d'envoyer un SMS avec les paramètres spécifiques. Les propriétaires d'appareils infectés ne sont pas conscients de la perte d'argent parce que le Trojan bancaire masque tous les messages suspects.

De plus, le banker est capable de transférer de l'argent des cartes bancaires vers des comptes pirates. Les banques surveillent les transactions suspectes à l'aide d'algorithmes spéciaux, de sorte que la probabilité qu'un tel versement soit bloqué est très élevée, tandis que les schémas décrits ci-dessus permettent aux fraudeurs de voler pendant une longue période des sommes relativement petites et de rester inaperçus.

Une autre fonctionnalité de Flexnet est le vol de données confidentielles. Les cybercriminels peuvent accéder aux comptes des utilisateurs sur les réseaux sociaux, des boutiques en ligne, des espaces personnels sur les sites d’opérateurs mobiles ainsi que des comptes relatifs à d’autres services en ligne. Connaissant le numéro de téléphone mobile d'une victime, les attaquants tentent de se connecter à son compte. Un code de vérification est envoyé au numéro en question, ce code est intercepté par le Trojan et transféré ensuite aux pirates.

Si le numéro du propriétaire d'un appareil infecté n'est associé à aucun service, les pirates peuvent l'utiliser pour enregistrer un nouveau compte. Ultérieurement, les comptes compromis et les nouveaux comptes peuvent appraître sur le marché noir et être utilisés pour des envois de spam ou dans l'organisation d’attaques phishing.

Avec l'aide de l'enregistreur REG.ru, quelques serveurs de contrôle Flexnet ont été bloqués, par conséquent, les pirates n’ont plus le contrôle sur une partie des appareils contaminés.

Doctor Web rappelle aux propriétaires de Smartphones et tablettes Android que seuls les jeux et applis provenant de sources de confiance telles que Google Play devraient être installés sur leurs appareils. Il est également utile de faire attention aux commentaires et avis laissés par d'autres utilisateurs, et d'utiliser les logiciel d’éditeurs fiables et connus.

Les antivirus Dr.Web pour Android détectent toutes les modifications connues du Trojan Flexnet comme des représentants de la famille Android.ZBot et les suppriment. Ces programmes malveillants ne représentent pas de danger pour nos utilisateurs.

#Android, #Trojan_bancaire, #authentification_à_deux_facteurs