Ces deux applications peuvent vider votre compte bancaire et ont été téléchargées des milliers de fois : supprimez-les de votre mobile

Ces deux applications peuvent vider votre compte bancaire et ont été téléchargées des milliers de fois : supprimez-les de votre mobile

Soyez très prudent avec ces deux applis : elles se présentent comme des gestionnaires de tâches apparemment inoffensifs, mais elles peuvent vider votre compte bancaire.

Ces deux applications peuvent vider votre compte bancaire et ont été téléchargées des milliers de fois : supprimez-les de votre mobile

En début d’année nous avions déjà signalé l’apparition de Xenomorph, un dangereux cheval de Troie capable de voler les identifiants des applications bancaires, voire d’intercepter les codes à usage unique reçus par SMs. Grâce à ses techniques, il a réussi à devenir l’un des chevaux de Troie les plus répandus et les plus dangereux disponibles sur Android.

Maintenant, Xenomorph est de retour sur le Google Play Store. Selon le portail spécialisé en cybersécurité Hispasec, l’équipe de recherche Zscaler ThreatLabz a découvert de nouvelles applications infectées par Xenomorph dans l’App Store des appareils Android.

Ces applications accumulent des milliers de téléchargements d’utilisateurs, car elles prétendent être des outils apparemment inoffensifs. Cependant, à l’intérieur, ils cachent l’un des virus les plus dangereux qui existent aujourd’hui.

Applications Android

Applications sur un smartphone Android.

Le cheval de Troie se cache dans deux applications apparemment inoffensives

Comme l’ont souligné les chercheurs, le malware se cache dans deux applications apparemment anodines : un gestionnaire de tâches et une application pour suivre les dépenses. Leurs noms sont « Todo: Day manager (com.todo.daymanager) et « Expense Keeper (com.setprice.expenses) ».

Une fois l’une des deux applications installée, l’utilisateur est invité à accorder une autorisation d’accès pour obtenir des privilèges avancés et pouvoir effectuer l’étape suivante de l’attaque, qui consiste à télécharger le malware lui-même, hébergé sur GitHub.

Capture d'écran Google Play Store de deux applications contenant des logiciels malveillants

Les deux applications infectées par Xenomorph.

Avec le logiciel malveillant déjà installé sur l’appareil de la victime, Xenomorph exécute le reste de l’attaque, tentant de voler les informations d’identification de l’application bancaire et interceptant les messages texte et les notifications afin qu’il puisse voler les codes de vérification à usage unique uniquement.

Ce n’est pas le premier cheval de Troie à profiter des autorisations d’accessibilité d’Android pour prendre le contrôle des appareils et les infecter. Pour cette raison, il est très important de bien décider quel type d’autorisations sont accordées à chaque application, et il est recommandé d’utiliser ce type d’autorisations avancées uniquement dans les applications qui proviennent de développeurs fiables et avec une certaine réputation au sein de Google Play.