Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Un Trojan ciblant Android vole de l'argent et des données confidentielles

le 26 novembre 2014

Les spécialistes de Doctor Web ont découvert un Trojan ciblant les Smartphones et les tablettes sous Android. Ce malware, ajouté à la base virale sous le nom Android.BankBot.34.origin est capable de voler les données confidentielles des utilisateurs, ainsi que de l'argent sur les comptes mobiles et bancaires.

Android.BankBot.34.origin мdevient actif uniquement après son installation par l'utilisateur. C'est pourquoi ses auteurs le distribuent sous couvert d’une mise à jour système avec un raccourci vers une application populaire. Le choix de l'application de simulation dépend de la fantaisie des malfaiteurs. Après son installation, le Trojan place son raccourci sur l'écran principal, qui peut se trouver placé à côté du raccourci de l'application originale si elle est déjà installée dans le système. Ainsi, les utilisateurs peuvent confondre les applications et installer le Trojan au lieu du logiciel légal. Si l'utilisateur ne lance pas le Trojan après son installation, Android.BankBot.34.origin sera installé automatiquement lors du démarrage du système d'exploitation.

Suite à son initialisation, Android.BankBot.34.origin demande les droits administrateur de l'appareil mobile qui permettent de rendre sa désinstallation plus difficile. De plus, le Trojan supprime son raccourci, si le lancement d'Android.BankBot.34.origin a été effectué par l'utilisateur de l'appareil mobile. Puis il commence son activité malveillante.

screen

Android.BankBot.34.origin peut lancer deux attaques. La première dépend du comportement de l'utilisateur. Elle est lancée s’il ouvre l'une des applications auxquelles les malfaiteurs s'intéressent. Si l'utilisateur lance cette application, Android.BankBot.34.origin affiche sur son interface une fenêtre de phishing avec des champs dans lesquels l'utilisateur doit entrer ses données confidentielles (login et mot de passe, numéro de téléphone, données de la carte bancaire). Le Trojan imite très bien les applications pour minimiser les suspicions des utilisateurs. Il attaque les applications suivantes :

  • Google Play;
  • Google Play Music;
  • Gmail;
  • WhatsApp;
  • Viber;
  • Instagram;
  • Skype;
  • " VKontakte " ;
  • " Odnoklassniki " ;
  • Facebook;
  • Twitter.

Le Trojan envoie toutes les données recueillies au serveur de gestion.

screenscreenscreen

La seconde attaque prévoit l'exécution des commandes reçues du serveur de gestion. En particulier, Android.BankBot.34.origin peut exécuter les commandes suivantes :

  • activer ou désactiver l'interception des SMS entrants et sortants ;
  • envoyer une requête USSD ;
  • ajouter un numéro dans la black liste afin de bloquer les SMS provenant de ce numéro (par défaut, cette liste inclut les numéros de service des opérateurs mobiles, de la banque en ligne) ;
  • nettoyer la black liste ;
  • envoyer au serveur la liste des applications installées ;
  • envoyer un SMS ;
  • envoyer au serveur l'identificateur unique du malware ;
  • afficher une boîte de dialogue ou un message sur l'écran. Les paramètres de ce message sont reçus dans une commande.

Il est à noter que l'adresse du serveur de gestion d'Android.BankBot.34.origin peut, à l'insu de l'utilisateur, envoyer et intercepter des SMS, de plus les malfaiteurs peuvent l'utiliser en tant que Trojan bancaire pour voler de l'argent à l'aide des commandes SMS de la banque en ligne. De la même façon, les malfaiteurs peuvent vider le compte mobile en transférant de l'argent sur leur compte en utilisant les commandes USSD. La liste des opérateurs mobiles et banques en ligne est illimitée. Ce Trojan représente un danger surtout pour les clients de banques en ligne qui offrent la possibilité de gérer son compte par SMS, ainsi qu'aux abonnés des opérateurs mobiles qui peuvent envoyer des virements d’un compte mobile à l'autre.

Le fait que le Trojan puisse afficher un message ou une boîte de dialogue sur l'écran donne aux malfaiteurs d’autres possibilités. Par exemple, si le Trojan réussit à voler le login et le mot de passe pour un compte de réseau social, les malfaiteurs peuvent changer le mot de passe et envoyer une commande avec le texte suivant : " Votre compte est bloqué. Veuillez envoyer un virement au numéro 1234 pour restaurer le compte ". Android.BankBot.34.origin peut également recevoir une commande pour afficher une boîte de dialogue soi-disant de la part de la banque en ligne pour " confirmer le mot de passe » afin d’accéder au compte de la victime. Ce Trojan représente donc un danger pour les utilisateurs des appareils mobiles sous Android.

Pour éviter l'infection, Doctor Web recommande de ne pas télécharger ni installer d’applications à partir de sources douteuses, ainsi qu’empêcher, si possible, le téléchargement d’applications hors Google Play. De plus, l’utilisateur doit rester vigilant sur les droits que demandent les applications : si vous avez des doutes sur un logiciel, mieux vaut ne pas l'installer.

Ce malware est ajouté à la base virale sous le nom Android.BankBot.34.origin c'est pourquoi les utilisateurs de Dr.Web pour Android et Dr.Web pour Android Light sont complètement protégés.

Plus d'infos sur cette menace

Protégez votre Appareil Android avec Dr.Web

Acheter en ligne Acheter via Google Play Gratuit

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2019

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg