L’émergence de nouveaux logiciels malveillants représente une menace constante qui évolue parallèlement à la technologie. Si, il y a quelques jours, nous faisions état du retour de Grandoreiro, les chercheurs de la société de renseignement sur les menaces Cyble ont désormais identifié un dangereux cheval de Troie bancaire conçu pour le Système d’exploitation Android, baptisé ‘Antidot‘. Ce malware non seulement espionne les utilisateurs, mais a également la capacité de voler leurs informations d’identification les plus sensibles, agissant sous le couvert d’une mise à jour inoffensive du Google Play Store.
Antidot est un cheval de Troie Android créé pour être multiforme, conçu pour infiltrer les appareils sans éveiller les soupçons. Une fois installé, le cheval de Troie présente une fausse page de mise à jour de Google Play, s’adaptant à la langue de l’appareil de la victime, notamment l’espagnol, l’anglais, le français, l’allemand, le portugais, le roumain et le russe. Cette première étape est importante car elle redirige l’utilisateur vers les paramètres d’accessibilité de l’appareil, où le cheval de Troie manipule l’utilisateur pour qu’il accorde des autorisations qui seraient normalement désactivées pour protéger l’appareil.
Une fois ces autorisations élevées obtenues, Antidot commence son véritable travail en arrière-plan. Communique avec un serveur contrôlé par les attaquants, qui envoie des commandes pour effectuer une série d’actions malveillantes. Il s’agit notamment des attaques par superposition, qui sont des tactiques consistant à afficher de fausses pages de phishing imitant des applications bancaires ou de crypto-monnaie légitimes, capturant ainsi les informations d’identification de l’utilisateur.
Capacités avancées et stratégies d’attaque
Antidot ne se limite pas à des actions simples. Il possède des capacités qui vous permettent d’enregistrer ce qui est affiché à l’écran, d’enregistrer chaque frappe et de contrôler l’appareil à distance. Utilisez VNC (Virtual Network Computing) à cet effet, donnant aux attaquants un accès sans précédent aux informations privées des utilisateurs. De plus, vous pouvez verrouiller et déverrouiller votre téléphone, collecter des contacts et des messages SMS, effectuer des demandes USSD et même prendre le contrôle des fonctions d’appel et de caméra de l’appareil.
La fonctionnalité MediaProjection est particulièrement dangereuse, car elle permet au cheval de Troie capturer tout le contenu affiché sur l’écran de l’appareil infecté. Une fois capturées, ces informations sont cryptées et renvoyées au serveur de commande et de contrôle (C&C), où les attaquants peuvent les utiliser selon leurs besoins.
Prévention et protection contre Antidot
En tant que principal outil de prévention, l’importance de la vigilance et de la précaution est soulignée pour se protéger contre de telles menaces. Si quelque chose est recommandé de manière fondamentale, c’est le fait de téléchargez uniquement des applications à partir de sources officielles telles que Google Play Store et soyez toujours attentif aux autorisations qu’une application demande lors de l’installation. Il est également essentiel d’activer Google Play Protect et de maintenir le système d’exploitation à jour pour se défendre contre les logiciels malveillants.
3 raisons du succès des chevaux de Troie Android
Les cybercriminels exploitent les chevaux de Troie comme Antidot pour plusieurs raisons stratégiques et lucratives, notamment :
- Vol d’informations financières et personnelles: Les chevaux de Troie comme Antidot sont des outils efficaces pour voler des informations sensibles, telles que des informations bancaires, des mots de passe, des données de carte de crédit et des informations personnelles. Ces informations peuvent être utilisées directement pour voler de l’argent sur les comptes bancaires des victimes, effectuer des achats frauduleux ou être vendues sur le marché noir à d’autres criminels, générant ainsi une source de revenus illégitimes.
- Contrôle à distance des appareils: Antidot et d’autres chevaux de Troie similaires permettent aux attaquants de prendre le contrôle total des appareils infectés. Cela inclut la possibilité d’exécuter des commandes arbitraires, d’espionner les victimes via l’accès à la caméra et au microphone, d’envoyer des messages et de passer des appels, qui peuvent être utilisés à diverses fins malveillantes, de l’espionnage industriel au chantage.
- Facilité de propagation et évasion de la détection: Les chevaux de Troie comme Antidot sont souvent équipés de techniques avancées pour éviter d’être détectés par les logiciels antivirus et autres mesures de sécurité. Leur capacité à se déguiser en logiciels légitimes et à effectuer des actions malveillantes sans alerter l’utilisateur leur permet de se propager largement avant d’être détectés.
