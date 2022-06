MaliBot est la dernière menace qui traque les utilisateurs d’Android en France : il peut voler les codes d’accès aux principales banques.

FluBot a réussi à mettre en danger des millions de personnes dans le monde en étant un virus ciblant Android capable de prendre le contrôle total des appareils et d’accéder aux données sensibles, y compris les mots de passe des applications financières. Sa disparition, confirmée par Europol, semblait être venue nous donner une trêve, mais tout semble indiquer que le successeur de FluBot est déjà une réalité.

Il a été nommé MaliBot par la firme spécialisée en cybersécurité F5, qui était chargée de le découvrir tout en surveillant le cheval de Troie FluBot. Cette société assure qu’il s’agit de logiciels malveillants destinés principalement aux utilisateurs de deux des principales entités financières en France : Santander et CaixaBank.

Un cheval de Troie se fait passer pour des applications populaires comme Chrome

Les chercheurs de F5 ont pu déterminer que l’origine du cheval de Troie est la Russie, le pays à partir duquel la propagation de MaliBot est contrôlée. Les premières campagnes remontent à juin 2020, et il s’agit d’une version modifiée d’un malware déjà connu : SOVA.

Ses capacités incluent le vol de code de vérification à usage unique et multifacteur, le vol de SMs, la suppression d’applications, la collecte de données sensibles et même la possibilité de contourner le système de vérification en deux étapes de Google.

Il a été découvert que les campagnes avec ce malware comme protagoniste se concentrent principalement sur l’Italie et l’France. Dans ces pays, les auteurs ont diffusé leur virus via des pages Web incitant les utilisateurs à télécharger des applications infectées. Ces applications comprenaient de faux clones d’outils populaires tels que Google Chrome, ainsi que des applications de crypto-monnaie.

Afin de se propager davantage entre les appareils, une fois l’appareil de la victime infecté, MaliBot profite de ses autorisations pour accéder à la liste de contacts de l’utilisateur et envoyer des SMs avec des liens contenant le fichier APK du virus. Cette façon d’agir est connue sous le nom de « smishing ».

Antivirus pour Android, est-ce que ça vaut le coup d’en avoir un sur son mobile ?

En obtenant des autorisations privilégiées sur l’appareil, telles que l’accès aux API d’accessibilité d’Android, MaliBot a la capacité d’effectuer des actions sur l’appareil sans nécessiter d’interaction de l’utilisateur. Cela, selon les attaquants, fait de MaliBot un virus principalement destiné à voler des informations sensibles liées à des entités financières.

En fait, il a été découvert que le logiciel malveillant contient une liste d’applications bancaires cibles dans son code, notamment CaixaBank et Santander d’France, et UniCredit d’Italie. Des techniques de vol de crypto-monnaie ont également été découvertes à partir de portefeuilles hébergés sur des plateformes telles que Binance ou Trust Wallet.

Bien qu’aujourd’hui la menace traque surtout les utilisateurs en France et en Italie, on s’attend à ce qu’au fil des semaines, MaliBot élargisse ses objectifs et que de nouvelles campagnes voient le jour vers d’autres régions du monde. Les chercheurs recommandent d’éviter de télécharger des applications à partir de sources extérieures au Google Play Store et d’ignorer les messages SMs provenant de sources non fiables.

