Les systèmes d’exploitation sont devenus plus fiables avec le temps, mais aucun système n’est infaillible. Pour cette raison il est important de faire des mises à jour régulières et de se méfier des fichiers APK. Bien connus des utilisateurs Android, ils permettent de passer outre le Play Store pour installer des applications sur un appareil. L’ouverture du système d’exploitation de Google offre cette souplesse, mais elle permet aussi aux pirates de mener des attaques.
Dans une nouvelle étude repérée par nos confrères de Presse-Citron, les chercheurs de ThreaFabric alertent sur la recrudescence des attaques par deux chevaux de Troie bancaires. Appelés FluBot et Medusa, ils sont différents mais utilisent la même méthode de diffusion pour infecter vos terminaux sous Android. Découvert pour la première fois en juillet 2020, Medusa était surtout connu pour abuser des permissions d’accessibilité pour siphonner les fonds de vos applications bancaires.
Deux ans ont passé et le cheval de Troie a bien évolué pour continuer d’exister. « Medusa présente d’autres fonctionnalités dangereuses telles que l’enregistrement des touches, l’enregistrement des événements d’accessibilité et le streaming audio et vidéo. Toutes ces capacités permettent d’avoir un accès presque total à l’appareil de la victime », expliquent les chercheurs de ThreatFabric.
Ces malwares bancaires se propagent via de fausses applications
Pour passer sous les radars du Google Play Store, il se transmet via des apps téléchargées en dehors de la boutique d’applications. Il est notamment présent dans de faux fichiers APK de « DHL » ou « Flash Player » pour infecter un appareil. Longtemps présent en Turquie, il a franchi plusieurs frontières et s’étend notamment au Canada ou aux États-Unis. Il convient donc d’être prudent si vous installez des applications hors du Play Store.
Medusa n’est d’ailleurs pas seul et se développe en compagnie de FluBot. Déjà connu, il a aussi évolué pour être capable d’intercepter et de manipuler les notifications. Ce malware cible la fonction de réponse directe d’applications comme WhatsApp diffuser des liens pointant vers des logiciels malveillants et des liens de phishing. « Avec cette fonctionnalité, le malware peut utiliser une liste de réponses aux notifications tirées du serveur et centre de contrôle des pirates », indique ThreatFabric. Il peut aller encore plus loin et être utilisé par des pirates pour confirmer des transactions au nom de la victime.
Pour se protéger, il vaut mieux télécharger des applications depuis le Google Play Store. Il convient également de ne pas cliquer sur les liens inconnus que vous recevez par SMS, par mail ou via une application de messagerie. En cas de doute, contactez votre correspondant ou le service qui vous a envoyé ce message.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
