Il y a un nouveau cheval de Troie qui s'attaque aux utilisateurs d'Android, et il cache plusieurs mauvais tours dans sa manche.

Détecté pour la première fois par ESET en novembre 2018, le logiciel malveillant combine les capacités d'un cheval de Troie bancaire contrôlé à distance à une nouvelle méthode d’utilisation abusive des services d'accessibilité Android, pour cibler les utilisateurs de l'application officielle PayPal.

Au moment d'écrire ces lignes, le logiciel malveillant se fait passer pour un outil d'optimisation de la batterie et est distribué via des magasins d'applications tiers.

Figure 1 - Le déguisement utilisé par le logiciel malveillant au moment de la rédaction du présent article

Comment fonctionne cette application?

Une fois lancée, l'application malveillante se termine sans offrir aucune fonctionnalité et cache son icône. Dès lors, sa fonctionnalité peut être décomposée en deux parties principales, comme décrit dans les sections suivantes.

Service d'accessibilité malveillant ciblant PayPal

La première fonction du logiciel malveillant, qui consiste à voler de l'argent sur les comptes PayPal de ses victimes, nécessite l'activation d'un service d'accessibilité malveillant. Comme le montre la figure 2, cette demande est présentée à l'utilisateur comme provenant du service « Activer les statistiques », en apparence anodin.

Figure 2 – Logiciel malveillant demandant l'activation de son service d'accessibilité, camouflé sous le nom « Activer les statistiques »

Si l'application PayPal officielle est installée sur l'appareil compromis, le logiciel malveillant affiche une alerte de notification demandant à l'utilisateur de le lancer. Une fois que l'utilisateur ouvre l'application PayPal et se connecte, le service d'accessibilité malveillante (s'il a été activé précédemment par l'utilisateur) intervient et imite les clics de l'utilisateur pour envoyer de l'argent à l'adresse PayPal du pirate.

Lors de notre analyse, l'application a tenté de transférer 1000 euros, mais la devise utilisée dépend de la localisation de l'utilisateur. L'ensemble du processus prend environ 5 secondes. Ainsi, pour un utilisateur peu méfiant, il n'y a pas moyen d'intervenir à temps.

Parce que le logiciel malveillant ne repose pas sur le vol des identifiants de connexion PayPal et attend plutôt que les utilisateurs se connectent eux-mêmes à l'application officielle PayPal, il contourne également l'authentification à deux facteurs (2FA) de PayPal. Les utilisateurs qui disposent de la fonction 2FA n'ont qu'à franchir une étape supplémentaire pour se connecter, comme ils le feraient normalement, mais ils finissent par être tout aussi vulnérables à cette attaque de cheval de Troie que ceux qui n'utilisent pas la fonction 2FA.

La vidéo ci-dessous illustre comment fonctione ce processus dans la pratique.

Les attaquants n'échouent que si l'utilisateur a un solde PayPal insuffisant et aucune carte de paiement connectée au compte. Le service d'accessibilité malveillante est activé chaque fois que l'application PayPal est lancée, ce qui signifie que l'attaque peut avoir lieu plusieurs fois.

Nous avons informé PayPal de la technique malveillante utilisée par ce cheval de Troie et le compte PayPal utilisé par l'attaquant pour recevoir des fonds volés.

Cheval de Troie bancaire reposant sur des couches d’attaque

La deuxième fonction du logiciel malveillant utilise des écrans d'hameçonnage affichés sur des applications légitimes et ciblées, à l’insu de celles-ci.

Par défaut, le logiciel malveillant télécharge des écrans de superposition HTML pour cinq applications - Google Play, WhatsApp, Skype, Viber et Gmail - mais cette liste initiale peut être mise à jour à tout moment de façon dynamique.

Quatre des cinq écrans d’hameçonnage cherchent à voler des données de carte de crédit (Figure 3); celui qui cible Gmail vise plutôt à subtiliser les identifiants de connexion Gmail (Figure 4). Nous soupçonnons que cela est lié à la fonctionnalité de ciblage PayPal, car PayPal envoie des notifications par courriel pour chaque transaction effectuée. Avec l'accès au compte Gmail de la victime, les attaquants pouvaient supprimer ces courriels pour rester inaperçus plus longtemps.

Figure 3 - Écrans de superposition malveillants pour Google Play, WhatsApp, Viber et Skype, visant à obtenir les détails de carte de crédit

Figure 4 - Écrans de superposition malveillante pour l'hameçonnage des informations d'identification Gmail

Nous avons également vu des écrans superposés pour les applications bancaires légitimes demandant des identifiants de connexion aux comptes bancaires en ligne des victimes (Figure 5).

Figure 5 - Écran de superposition malveillante pour l'application mobile de la NAB (National Australia Bank)

Contrairement aux couches d’attaque utilisées par la plupart des chevaux de Troie bancaires Android, celles-ci sont affichées sur l'écran de premier plan verrouillé - une technique également utilisée par des rançongiciels ciblant Android. Ceci empêche les victimes d'enlever la superposition en appuyant sur le bouton retour ou sur le bouton maison. La seule façon de passer cet écran de superposition est de remplir le faux formulaire. Heureusement, même des entrées aléatoires et invalides font disparaître ces écrans.

D'après notre analyse, les auteurs de ce cheval de Troie ont cherché d'autres utilisations pour ce mécanisme de superposition d'écran. Le code du logiciel malveillant contient des chaînes de caractères indiquant que le téléphone de la victime a été verrouillé pour afficher de la pornographie juvénile et peut être déverrouillé en envoyant un courriel à une adresse précise. De telles affirmations rappellent les premières attaques à l'aide d'un logiciel de rançongiciel mobile, où les victimes avaient peur de croire que leurs appareils étaient verrouillés en raison de sanctions policières reconnues. Il n'est pas clair si les attaquants derrière ce cheval de Troie prévoient également d'extorquer de l'argent aux victimes, ou si cette fonctionnalité serait simplement utilisée comme une couverture pour d'autres actions malveillantes se produisant en arrière-plan.

Outre les deux fonctions de base précédemment décrites, et en fonction des commandes reçues de son serveur C&C, ce logiciel malveillant peut également :

  • Intercepter et envoyer des SMS, supprimer tous les SMS et modifier l'application SMS par défaut (pour contourner l'authentification à deux facteurs par SMS) ;
  • Obtenir la liste des contacts ;
  • Passer et transférer des appels ;
  • Obtenir la liste des applications installées ;
  • Installer une application et exécuter une application installée ;
  • Démarrer la communication par socket.

Les chevaux de Troie basés sur l'accessibilité, aussi sur Google Play

Nous avons également repéré cinq applications malveillantes avec des habiletés similaires dans la boutique Google Play, ciblant les utilisateurs brésiliens.

Les applications, dont certaines ont également été rapportées par Dr. Web et qui ont été depuis retirées de Google Play, ont servi d'outils pour suivre l'emplacement des autres utilisateurs d'Android.  En réalité, les applications utilisent un service d'accessibilité malveillant pour naviguer dans les applications légitimes de plusieurs banques brésiliennes. En outre, les chevaux de Troie hameçonnent des informations sensibles en superposant un certain nombre d'applications à des sites Web d'hameçonnage. Les applications ciblées sont listées dans la section IoCs de ce blog.

Figure 6 - Une des applications malveillantes sur Google Play

Fait à noter, ces chevaux de Troie utilisent également Accessibilité pour contrecarrer les tentatives de désinstallation. Elles parviennent à ce résultat en cliquant plusieurs fois sur le bouton « Précédent », chaque fois qu'une application antivirus ciblée ou un gestionnaire d'application est lancé, ou lorsque des chaînes suggérant une désinstallation sont détectées au premier plan.

Comment se protéger?

Les utilisateurs qui ont installé ces applications malveillantes ont probablement déjà été victimes d'une de leurs fonctions malveillantes.

Si vous avez installé le cheval de Troie ciblant PayPal, nous vous conseillons de vérifier si des transactions suspectes ont été effectuées sur votre compte bancaire et d'envisager de modifier votre mot de passe/NIP de banque par Internet, ainsi que le mot de passe Gmail. En cas de transactions PayPal non autorisées, vous pouvez signaler un problème dans le Centre de résolution de problèmes PayPal.

Quant aux appareils rendus inutilisables en raison de l’affichage d’une couche d'écran affichant ce cheval de Troie, nous vous recommandons d'utiliser le mode sans échec d'Android et de désinstaller une application nommée « Optimisation Android », en allant dans Paramètres > (Général) > Application manager/Apps.

La désinstallation en mode sans échec est également recommandée pour les utilisateurs brésiliens qui ont installé l'un des chevaux de Troie sur Google Play mentionné plus tôt.

Pour rester à l'abri des logiciels malveillants sous Android à l'avenir, nous vous conseillons de :

  • Vous en tenir à la boutique officielle de Google Play lorsque vous téléchargez des applications ;
  • Vous assurer de vérifier le nombre de téléchargements, le classement des applications et le contenu des critiques avant de télécharger des applications depuis Google Play ;
  • Porter une attention particulière aux permissions que vous accordez aux applications que vous installez ;
  • Maintenir votre appareil Android à jour et d’utiliser une solution de sécurité mobile fiable; ESET détecte ses menaces comme étant Android/Spy.Banker.AJZ and Android/Spy.Banker.AKB.

Indicateurs de compromission (IoCs)

Chevaux de Troie sous Android ciblant les utilisateurs de PayPal

Package Name Hash ESET detection name
jhgfjhgfj.tjgyjgjgjy 1C555B35914ECE5143960FD8935EA564 Android/Spy.Banker.AJZ

Chevaux de Troie bancaires sous Android ciblant les utilisateurs du Brésil

Package Name Hash ESET detection name
service.webview.kiszweb FFACD0A770AA4FAA261C903F3D2993A2 Android/Spy.Banker.AKB
service.webview.webkisz D6EF4E16701B218F54A2A999AF47D1B4 Android/Spy.Banker.AKB
com.web.webbrickd 5E278AAC7DAA8C7061EE6A9BCA0518FE Android/Spy.Banker.AKB
com.web.webbrickz 2A07A8B5286C07271F346DC4965EA640 Android/Spy.Banker.AKB
service.webview.strongwebview 75F1117CABC55999E783A9FD370302F3 Android/Spy.Banker.AKB

Applications ciblées (hameçonnage par couches)

  • com.uber
  • com.itaucard
  • com.bradesco
  • br.com.bb.android
  • com.netflix
  • gabba.Caixa
  • com.itau
  • Any app containing the string “twitter”

Applications ciblées (navigation intégrée in-app)

  • com.bradesco
  • gabba.Caixa
  • com.itau
  • br.com.bb
  • Any app containing the string “santander”

Applications antivirus et gestionnaires d'application ciblés

  • com.vtm.uninstall
  • com.ddm.smartappunsintaller
  • com.rhythm.hexise.uninst
  • com.GoodTools.Uninstalle
  • mobi.infolife.uninstaller
  • om.utils.uninstalle
  • com.jumobile.manager.systemapp
  • com.vsrevogroup.revouninstallermobi
  • oo.util.uninstall
  • om.barto.uninstalle
  • om.tohsoft.easyuninstalle
  • vast.android.mobile
  • om.android.cleane
  • om.antiviru
  • om.avira.andro
  • om.kms.free