Le groupe de cybersécurité ThreatFabric alerte au sujet d'un cheval de Troie bancaire sur Android, dont la distribution a été observée via le Google Play Store pour un total de plus de 50 000 installations avec une application Fast Cleaner.

Avec un nom de paquet (identifiant) com.census.turkey, com.laundry.vessel, com.tip.equip ou encore com.spike.old, l'application Fast Cleaner se présentait comme un utilitaire pour l'optimisation des performances de l'appareil et de la batterie.

xenomorph-fast-cleaner

L'objectif caché de Fast Cleaner est l'installation de la charge utile malveillante Xenomorph - en référence au film Alien - qui est rapatriée par l'intermédiaire d'un injecteur (dropper). Le malware bancaire peut cibler 56 banques différentes en Europe (Belgique, Espagne, Portugal et Italie), ainsi que des applications de messagerie et portefeuilles de cryptomonnaies.

Classique mais en devenir

Avec une demande d'accès au service d'accessibilité, le principal vecteur d'attaque de Xenomorph est la superposition de faux écrans de connexion au-dessus des applications bancaires légitimes afin de recueillir des informations d'identification, puis les envoyer à des serveurs de commande et contrôle.

xenomorph-superposition-ecrans

Xenomorph peut également intercepter des notifications par SMS et récupérer des codes qui seront utiles aux attaquants dans le but de passer outre des méthodes d'authentification à deux facteurs. ThreatFabric souligne un malware modulaire qui semble encore être en développement. D'autres fonctionnalités malveillantes sont ainsi susceptibles de faire leur apparition.

" Xenomorph est actuellement un cheval de Troie bancaire Android dans la moyenne, avec beaucoup de potentiel inexploité qui pourrait être libéré très bientôt. Les malwares bancaires modernes évoluent à un rythme très rapide, et les criminels commencent à adopter des pratiques de développement plus raffinées pour prendre en charge les futures mises à jour. "

N.B. : Crédits images : ThreatFabric.