Android : le trojan ERMAC 2.0 peut voler les identifiants de 467 applications différentes

Le trojan pour Android nommé ERMAC passe en version 2.0, ce qui lui permet de prendre en charge 467 applications au lieu de 378, afin de dérober encore plus d'informations, notamment des identifiants et les données de portefeuilles crypto.

Une fois qu'il est en place sur un appareil Android, le cheval de Troie "ERMAC 2.0" va analyser votre mobile à la recherche d'identifiants et de portefeuilles crypto dans le but de récupérer les informations et de les remonter aux pirates informatiques à l'origine de l'attaque. Une situation qui peut être difficile à gérer lorsque l'on est victime d'un tel logiciel malveillant.

Sur le dark net, ERMAC 2.0 peut être loué sous la forme d'un abonnement facturé 5 000 dollars par mois, soit 2 000 dollars de plus en comparaison de la première version du malware. C'est un signe qu'ERMAC est populaire et qu'il est capable de générer encore plus d'argent qu'avant grâce à la prise en charge d'un plus grand nombre d'applications. Il est susceptible de toucher n'importe quel pays car il prend en charge des institutions bancaires et des services du monde entier.

D'après les chercheurs en sécurité de chez ESET, il y a déjà une première campagne en cours basée sur ERMAC 2.0, et elle concerne le marché polonais avec la fausse application Bolt Food. Cette application serait distribuée par l'intermédiaire du site "bolt-food[.]site" qui n'a rien à voir avec le site officiel de ce service de livraison concurrent direct d'Uber Eats et consort, mais qui est une copie destinée à tromper les utilisateurs. La diffusion de ce lien malveillant s'appuie sur des méthodes habituelles telles que les campagnes de phishing, des publications malveillantes sur les réseaux sociaux, etc...

Android - Exemple ERMAC 2.0

Lorsqu'un utilisateur télécharge l'application et qu'il cherche à l'installer, celle-ci lui demande un contrôle total sur l'appareil (lecture des SMS, accès aux contacts, enregistrement audio, accès en écriture au stockage, création de pop-up, etc...). Grâce à ces autorisations, le trojan peut entrer en action et faire ce qu'il veut sur l'appareil. En fait, il va pouvoir présenter de faux formulaires de connexion dans les différentes applications, en superposition des formulaires officiels, afin de collecter les identifiants de l'utilisateur et de les envoyer au serveur C2 de l'attaquant. Cette possibilité est offerte grâce aux services d'accessibilité d'Android qui sont détournés pour un usage malveillant.

Une nouvelle fois, il est bon de rappeler qu'il ne faut pas télécharger d'applications en dehors des magasins officiels (où il faut rester méfiant également). Sur Android 11 et Android 12, Google a décidé de serrer la vis aux applications qui cherchent à utiliser les services d'accessibilité, ce qui devrait bloquer certaines actions de ce logiciel malveillant.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3872 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.