Un nouveau type de malware est apparu dans l'univers Android. Baptisé BlackRock, il a été repéré en mai dernier par la société de cybersécurité ThreatFabric.
Selon l'enseigne, cette nouvelle menace est en mesure de dérober les données d'au moins 337 applications.
Un descendant de Lokibot
BlackRock est basé sur le code source d'autres logiciels à partir desquels il a évolué. Parmi ses prédécesseurs, il compte ainsi Xerxes ou Lokibot, l'un des malwares les plus courants il y a quelques années.
De cette « famille », BlackRock a repris le fonctionnement et amélioré les fonctionnalités visant à voler les données sensibles détenues par les applications, comme les mots de passe de leurs utilisateurs ou les informations de leurs cartes de crédit. Il fonctionne ainsi toujours sur le même principe que les logiciels précédents, mais peut cibler davantage d'applications.
Ce principe de fonctionnement, appelé « superposition » est déjà bien connu. Il consiste à détecter lorsqu'un utilisateur essaie d'interagir avec une application. Le malware affiche alors une fausse fenêtre par-dessus, collectant les informations de connexion et les données de carte bancaire entrées par la victime.
De nouvelles « surprises » attendues cette année
Dans son communiqué, ThreatFabric précise que les superpositions observées jusqu'à présent ont visé 337 applications. Parmi elles, on trouve essentiellement des applications financières ainsi que des réseaux sociaux ou d'autres logiciels de communication. La société cite ainsi des applications comme Microsoft Outlook, Gmail ou Paypal.
Néanmoins, la société ajoute avoir également observé des cas de piratage sur des applications de rencontres, de shopping ou même dédiées au développement personnel et à la productivité. Parmi eux se trouvent des noms comme Uber, Amazon ou Netflix. La liste complète est disponible sur le site de BlackRock.
ThreatFabric conclut sur une augmentation du nombre de malwares de type « Cheval de Troie », tout en soulignant que les nouveaux logiciels se démarquent par leurs nouvelles fonctionnalités. Sur son blog, la société déclare : « Comme indiqué dans notre blog 2020, il n'y a pas seulement plus de nouveaux chevaux de Troie bancaires sur Android, mais certains d'entre eux apportent également de nouvelles fonctionnalités. La plupart commencent à intégrer des fonctionnalités permettant aux criminels de prendre le contrôle à distance du périphérique infecté et parfois même d'exécuter automatiquement une fraude depuis ce périphérique ».
Elle ajoute : « La seconde moitié 2020 sera pleine de surprises. Après Alien, Eventbot et BlackRock, nous pouvons nous attendre à ce que des acteurs motivés par l'argent mettent au point de nouveaux chevaux de Troie bancaires et continuent d'améliorer les existants ».
Sources : ThreatFabric, ZDNet
): pas de réseaux sociaux, pas de consultations bancaire/AMELI/mutuelle sur le smartphone, pas de paiement via le smartphone, 3 ou 4 applis max seulement installées chaque année, pas de compte Google.
