Un nouveau cheval de Troie bancaire mobile très performant appelé EventBot

Les chercheurs en sécurité ont découvert un cheval de Troie bancaire mobile très performant appelé EventBot qui exploite les fonctionnalités d'accessibilité d'Android pour cibler les utilisateurs de plus de 200 applications financières différentes telles que PayPal, Barclays, HSBC UK et d'autres.

Les chercheurs en sécurité de l'équipe Nocturnus de Cybereason qui ont mis au jour EventBot pensent que ce malware a un réel potentiel pour devenir la prochaine grande menace mobile car il fait l'objet d'améliorations itératives constantes, abuse d'une fonctionnalité critique du système d'exploitation et cible les applications financières.

Le chercheur a découvert qu'EventBot est capable de voler les données des applications financières, de lire les messages SMS des utilisateurs et de voler les messages SMS pour permettre au malware de contourner l'authentification à deux facteurs. La liste des applications financières sur Android qui sont vulnérables au cheval de Troie malveillant comprend Paypal Business, Barclays, UniCredit, CapitalOne UK, HSBC UK, Santander UK, TransferWise et Coinbase.

"EventBot pourrait être le prochain malware mobile influent en raison du temps que le développeur a déjà investi dans la création du code et du niveau de sophistication et de capacités très élevé", a déclaré Assaf Dahan, directeur principal et responsable de la recherche sur les menaces chez Cybereason.

"En accédant et en volant ces données, Eventbot a le potentiel d'accéder à des données commerciales clés, y compris des données financières. Les logiciels malveillants pour téléphones portables ne sont pas une mince affaire et constituent un risque important pour les entreprises comme pour les consommateurs", a-t-il ajouté.

Selon Cybereason, EventBot cible spécifiquement les applications bancaires financières aux États-Unis et en Europe, notamment en Italie, au Royaume-Uni, en Espagne, en Suisse, en France et en Allemagne.

"Ce malware abuse de la fonction d'accessibilité d'Android pour voler les informations des utilisateurs et est capable de mettre à jour son code et de publier de nouvelles fonctionnalités tous les quelques jours. À chaque nouvelle version, le malware ajoute de nouvelles fonctionnalités telles que le chargement dynamique de la bibliothèque, le cryptage et les ajustements aux différents lieux et fabricants. EventBot semble être un malware complètement nouveau dans les premiers stades de son développement, ce qui nous donne un aperçu intéressant de la manière dont les attaquants créent et testent leur malware.

"Une fois que ce malware aura réussi à s'installer, il collectera des données personnelles, des mots de passe, des frappes de clavier, des informations bancaires, etc. Ces informations peuvent permettre à l'attaquant d'accéder à des comptes bancaires personnels et professionnels, à des données personnelles et professionnelles, et bien plus encore", a ajouté la firme.

Bien que le cheval de Troie soit très performant et efficace, les utilisateurs de téléphones mobiles Android peuvent empêcher l'infection de leurs appareils et de leurs applications en tenant leurs appareils à jour avec les dernières mises à jour logicielles provenant de sources légitimes, en gardant Google Play Protect activé, en ne téléchargeant pas d'applications provenant de magasins d'applications tiers et en utilisant des solutions mobiles de détection des menaces pour une sécurité renforcée.

Ce n'est pas la première fois que des pirates informatiques malveillants développent des chevaux de Troie bancaires très performants pour cibler des applications bancaires, financières ou de cryptologie monétaire. Il y a plus de deux ans, des chercheurs de l'entreprise de sécurité Quick Heal ont découvert un cheval de Troie bancaire appelé Android.banker.A2f8a qui ciblait 232 applications bancaires en se cachant derrière une fausse application Flash Player et en obtenant des droits d'administration sur les appareils Android.

Le cheval de Troie bancaire Android était capable de voler des identifiants de connexion en affichant un faux écran de connexion sur les applications, en détournant des SMS et en téléchargeant des listes de contacts et des SMS sur un serveur malveillant. Non seulement le cheval de Troie bancaire Android a collecté tous les SMS stockés dans un appareil, mais il a également réglé le volume de la sonnerie de l'appareil sur silencieux pour s'assurer que les utilisateurs ne remarquent pas les nouvelles notifications des banques.

Le cheval de Troie bancaire visait un certain nombre d'applications gérées par des banques indiennes de premier plan comme la State Bank of India, Axis Bank, HDFC Bank, ICICI Bank, IDBI Bank, Union Bank of Commerce et Bank of Baroda, ainsi que des banques et des bureaux de change cryptographiques d'autres pays comme Bitfinex, Bitconium, Freewallet, WUBS Prepaid, Alfa-Direct, GarantiBank, QNB Finansinvest, Commerzbank, PayPal, Bank of America, Wells Fargo Bank, NatWest Bank, Halifax et Santander UK.

Fawaz MOUSSOUGAN 
Consultant en Cybersécurité