Une nouvelle version d’un malware Android très dangereux a été identifiée. Cette itération améliorée s’attaque désormais aux investisseurs qui détiennent des cryptomonnaies. On fait le point sur le mode opératoire, éculé mais efficace, des cybercriminels.
L’année dernière, un malware Android, baptisé Xenomorph, a fait son apparition. Le virus était parvenu à contourner les défenses du Play Store, la boutique d’applications Android de Google, pour infecter plus de 50 000 appareils.
Lors de son baptême du feu, Xenomorph n’avait qu’un seul objectif : subtiliser les coordonnées bancaires des utilisateurs. Il s’est notamment attaqué à des dizaines d’institutions financières européennes, notamment en Espagne et en Belgique. Plus de cinquante banques étaient dans le viseur du logiciel malveillant.
Le virus Xenomorph se tourne vers la crypto
D’après un rapport de ThreatFabric, Xenomorph a évolué depuis sa première apparition. Les chercheurs ont en fait dénombré cinq versions du malware. Les développeurs à l’origine du virus ont ajouté « de nouvelles fonctionnalités » ces derniers mois.
Surtout, le maliciel vise désormais aussi les portefeuilles détenant des cryptomonnaies. Après avoir visé les identifiants bancaires des utilisateurs, il cible maintenant les clés privées, c’est-à-dire la suite de mots qui permet d’accéder aux fonds stockés sur un wallet sur la blockchain.
Un piège éculé
Le nouveau mode opératoire de Xenomorph consiste à prendre au piège les utilisateurs de Google Chrome. Les pirates vont afficher une fenêtre surgissante avec un avertissement indiquant que le navigateur Chrome a « besoin d’être mis à jour ». C’est une tactique vieille comme le monde, qui est toujours très répandue sur d’innombrables sites douteux.
« Les mises à jour du navigateur n’annoncent généralement pas la nécessité de le faire au milieu de votre écran, et surtout pas lorsque vous surfez », souligne MalwareBytes, qui relaie les conclusions de ThreatFabric.
Cette fenêtre encourage les internautes à télécharger et à installer la dernière mise à jour de Chrome en un seul clic. En lieu et place d’une mise à jour, un fichier contenant le code de Xenomorph sera installé sur le smartphone.
Des fenêtres factices
Une fois qu’il est parvenu à infecter le téléphone, le malware va tout mettre en œuvre pour obtenir les clés privées de ses victimes. Il va surtout s’appuyer sur la méthode de la fausse superposition, très appréciée des virus bancaires. Concrètement, Xenomorph va afficher une fausse fenêtre au-dessus des applications permettant de stocker des cryptomonnaies, comme Metamask.
Ces fausses fenêtres reprendront l’interface du service imité. Grâce à une nouvelle fonctionnalité, Xenormorph peut également singer le comportement d’une application, en affichant du contenu légitime par le biais de WebView. Ce composant logiciel d’Android permet d’afficher du contenu web directement à l’intérieur d’une application. Dès lors, le virus n’a pas besoin de modifier son icône, ce qui déclenche parfois une alerte de sécurité.
« En se faisant passer pour une autre application, Xenomorph peut éviter d’utiliser cette technique, […] l’un des nombreux comportements typiques des logiciels malveillants Android », explique ThreatFabric.
Les utilisateurs vont alors entrer leurs identifiants et leurs clés privées dans la fenêtre factice en pensant interagir avec une app crypto officielle. Les pirates vont ainsi s’emparer des clés privées. Avec celles-ci, ils vont pouvoir siphonner les portefeuilles des usagers sans la moindre entrave. Les fonds seront transférés par le biais de la blockchain sur une autre adresse.
Une centaine d’apps sont visées par Xenomorph
Parmi les autres nouveautés dans l’arsenal de Xenormorph, on trouve un outil capable de simuler un clic sur l’écran tactile. Cette fonctionnalité permet de contourner des écrans de confirmation ou d’effectuer d’autres actions simples à l’insu de l’utilisateur. Un autre mécanisme permet d’empêcher la mise en veille du smartphone afin d’éviter les interruptions dans le processus de vol de données.
Plus de 100 applications différentes peuvent être imitées par Xenormorph. Parmi les cibles du virus, on trouve à la fois des banques et des services crypto, indique ThreatFabric. Citons par exemple des apps comme Binance, Trust, Poloniex, Coinbase, Kraken, Metamask, Bitpay ou Bitstamp. On remarquera que plusieurs banques belges sont toujours visées, dont Belfius, Axa, KBC, ou ING. D’après les experts, le logiciel a déjà été téléchargé des milliers de fois par des appareils depuis son grand retour sur le devant de la scène.
source : 01net