Une firme de sécurité avertit qu'un logiciel malveillant détecte des données bancaires envoyées par SMS

Plusieurs applications Android malveillants conçus pour voler les numéros d'authentification des transactions mobiles envoyés par les banques à leurs clients par SMS (Short Message Service) ont été trouvés sur Google Play par des chercheurs du fournisseur d'antivirus Kaspersky Lab.

Les applications ont été créées par un gang qui utilise une variante du logiciel bancaire Carberp pour cibler les clients de plusieurs banques russes, Denis Maslennikov, un Kaspersky, analyste senior des logiciels malveillants chez Kaspersky, a déclaré vendredi dans un article de blog

De nombreuses banques utilisent les mTAN comme mécanisme de sécurité pour empêcher les cybercriminels de transférer de l'argent d'un compte bancaire compromis en ligne. ts. Lorsqu'une transaction est initiée à partir d'un compte bancaire en ligne, la banque envoie un code unique appelé mTAN par SMS au numéro de téléphone du propriétaire du compte. Le propriétaire du compte doit retourner ce code dans le site Web des services bancaires en ligne pour que la transaction soit autorisée.

[Lectures supplémentaires: Comment supprimer les logiciels malveillants de votre PC Windows]

Pour vaincre ce type de défense, les cybercriminels ont créé des applications mobiles malveillantes qui cachent automatiquement les messages SMS reçus des numéros associés aux banques ciblées et les téléchargent silencieusement vers leurs serveurs. Les victimes sont trompées dans le téléchargement et l'installation de ces applications sur leurs téléphones via des messages indésirables affichées sur le site Web de leur banque depuis un ordinateur infecté.

Les applications de vol SMS ont déjà été utilisées avec Zeus et SpyEye. -in-the-Mobile (ZitMo) et SpyEye-in-the-Mobile (SpitMo). Cependant, c'est la première fois qu'un composant mobile malin conçu spécifiquement pour le malware Carberp a été trouvé, Contrairement à Zeus et SpyEye, le programme de Troie Carberp est principalement utilisé pour cibler les clients bancaires en ligne de la Russie et d'autres Russie-

Trojans usurpés par d'autres gangs

Selon un rapport publié en juillet par le fournisseur d'antivirus ESET, les autorités russes ont arrêté les responsables des trois plus grandes opérations de Carberp. Cependant, le malware continue d'être utilisé par d'autres gangs et est vendu sur le marché clandestin pour des prix compris entre 5 000 et 40 000 USD, selon la version et ses fonctionnalités.

"C'est la première fois que nous voyons un mobile malveillant Les composants d'un gang Carberp », a déclaré Aleksandr Matrosov, chercheur principal sur les logiciels malveillants au fournisseur d'antivirus ESET, vendredi par e-mail. «Les composants mobiles sont utilisés uniquement par un groupe Carberp, mais nous ne pouvons pas divulguer plus de détails pour le moment.»

Les nouvelles applications Carberp-in-the-Mobile (CitMo) trouvées sur Google Play sont des applications mobiles de Sberbank et Alfa-Bank, deux des plus grandes banques de Russie, et VKontakte, le service de réseautage social en ligne le plus populaire en Russie, a déclaré M. Maslennikov. Kaspersky a contacté Google mercredi et toutes les variantes CitMo ont été supprimées du marché jeudi, at-il dit.

Cependant, le fait que les cybercriminels aient réussi à télécharger ces applications sur Google Play soulève des questions sur l'efficacité du marché des applications. "Il semble que ce ne soit pas si difficile de contourner les défenses de Google Play, car les logiciels malveillants continuent d'y apparaître régulièrement", a déclaré M. Maslennikov par e-mail.

Bogdan Botezatu, analyste principal des e-menaces chez le fournisseur d'antivirus Bitdefender, pense qu'il pourrait être difficile pour Bouncer de Google de détecter les composants ZitMo, SpitMo ou CitMo car ils sont fonctionnellement similaires à certaines applications légitimes.

La version du cheval de Troie est seulement responsable du piratage du SMS reçu et de la transmission de son contenu à un destinataire différent, et ce comportement se retrouve également dans les applications légitimes, telles que le SMS mana. gement des applications ou même des applications qui permettent à l'utilisateur de contrôler à distance ses appareils par SMS au cas où ils seraient volés ou perdus », a-t-il déclaré par e-mail. "L'interception de SMS est une fonctionnalité bien documentée sur les forums, avec un exemple de code: si le même exemple de code est utilisé dans des applications malveillantes et légitimes, il sera encore plus difficile à détecter et à bloquer."

La possibilité d'utiliser Google Play pour distribuer des applications de vol SMS offre des avantages aux cybercriminels, a déclaré Botezatu. Tout d'abord, certains appareils utilisateur sont configurés pour installer uniquement les applications obtenues sur Google Play. En outre, les utilisateurs sont généralement moins méfiants vis-à-vis des applications téléchargées via Google Play et accordent moins d'attention à leurs autorisations, car ils s'attendent à ce que les applications soient conformes à ce que leurs descriptions prétendent.