ESET® découvre un botnet bancaire sur Android™ téléchargeable à partir de Google Play®. Suite à de nombreuses investigations, les chercheurs ESET accèdent au serveur C&C et livrent le fonctionnement du botnet.
C’est l’une des toutes premières fois qu’un botnet est coordonné à partir d’une base Android. En prenant l’apparence d’une application météorologique anodine, deux versions d’un code botnet pilotent des malwares (à partir d’un serveur C&C) pour voler les informations bancaires de la victime, tout en verrouillant l’écran du périphérique infecté. Dès leur détection par ESET au mois de février, l’équipe de sécurité de Google Play les a retirés de son store. Entre le 2 février 2017 et le 23 février 2017, le botnet a infecté 2 810 victimes dans 48 pays. Dans un second temps, pour stopper complètement l’infection, l’hébergeur du C&C coupa le serveur à la demande d’ESET.
Ces chevaux de Troie bancaires sont des versions modifiées d’un code source disponible sur des forums russes depuis la fin du mois de décembre 2016. Formantla base des exécutables d’un code propre au serveur C&C (qui comprend une interface de gestion Web), l’analyse fut facilitée : « en plus du fait que le code source soit accessible à tout le monde, le serveur C&C est disponible à quiconque possède l’URL, sans identification », explique Lukáš Štefanko, Malware Researcher chez ESET.
Selon les experts ESET, la mise à disposition de codes sources peut conduire à la prolifération des malwares. « Désormais, les cybercriminels peuvent se procurer facilement et gratuitement des outils qui leur permettent de créer des malwares sur Android. C’est pourquoi nous recommandons aux utilisateurs de cette plateforme de redoubler de vigilance et de suivre les précautions de base pour continuer à utiliser leur smartphone en toute sécurité », recommande Lukáš Štefanko.
Si vous souhaitez plus d’informations sur ce malware, nous vous invitons à consulter l’article disponible sur WeLiveSecurity en cliquant ici ou à nous contacter pour une demande d’interview.