Android – Huawei – Malware Cynos

Par Jérôme G. Publié le jeudi 25 novembre 2021 à 19h30.

Malware – Cheval de Troie

Plus de 9 millions d’appareils Android infectés par Cynos : Selon un rapport de l’éditeur russe de solutions de sécurité Doctor Web, plus de 9 millions d’appareils Android ont été infectés par un cheval de Troie trouvé dans plus de 190 jeux. Ces chiffres se basent sur des statistiques de l’AppGallery qui est la plateforme de distribution d’applications de Huawei.

Les applications (et donc jeux divers et variés) concernées sont listées dans un document mis en ligne sur GitHub. Certaines se destinent à des utilisateurs russophones, tandis que d’autres s’adressent à des utilisateurs chinois, voire pour un public international en anglais.

Huawei a été informé des trouvailles de Doctor Web et a fait le ménage dans l’AppGallery parmi les applications contenant le cheval de Troie baptisé Android.Cynos.7.origin. Le cas échéant, une désinstallation manuelle de certaines applications pourra être nécessaire.

Android.Cynos.7.origin est présenté comme l’une des modifications de Cynos.  » Ce module peut être intégré aux applications Android pour les monétiser. « 

Avec des autorisations obtenues de l’utilisateur pour la gestion des appels téléphoniques et autres, le malware a la capacité de recueillir et transmettre à un serveur des informations comme le numéro de téléphone, la localisation, des paramètres du réseau mobile, des caractéristiques techniques de l’appareil. Des publicités sont en outre affichées.

Une nuisance bien loin d’un spyware comme Pegasus, mais ce sont de tels chevaux de Troie qui menacent davantage le commun des utilisateurs.

Lire la Source : https://www.generation-nt.com/android-malware-cynos-cheval-troie-appgallery-huawei-actualite-1995176.html

© par Bernard TRITZ

Alerte : GriftHorse logiciel malveillant !

Par Tom Kerkour – Publié le jeudi 30 septembre 2021 à 18:37.

L’alerte a été donnée par l’entreprise de cybersécurité Zimperium. Dado Ruvic / REUTERS

Des millions de téléphones infectés par le logiciel malveillant GriftHorse : Pendant près d’un an, des applications cachant un virus étaient disponibles sur le Play Store de Google. Elles ont permis de voler de l’argent à plusieurs millions de victimes, dont certaines en France.

Horoscope, traducteur, jeu mobile… Deux cents applications anciennement distribuées sur le PlayStore de Google ont été infectées par un virus, comme l’a révélé mercredi l’entreprise américaine de cybersécurité Zimperium. Il s’agit plus précisément d’un «Cheval de Troie», un logiciel malveillant se faisant passer pour un service légitime et fiable. Environ 10 millions de personnes ont été victimes de ce programme surnommé «GriftHorse». Les applications infectées ont circulé pendant plus d’un an avant d’être retirés du catalogue de Google, elles restent cependant disponibles sur des boutiques d’applications tierces.

Les victimes sont éparpillées dans le monde entier, y compris en France. «Bien que la majorité des victimes se trouvent dans les pays européens, le fait que les cybercriminels aient utilisé Google Play comme source principale de distribution a donné à ces applications malveillantes une portée mondiale», a expliqué le PDG de l’entreprise, Shridhar Mittal, au média américain Forbes .

Carte Le virus a touché tous les continents. Carte Zimperium

Le virus n’est pas là pour simplement récolter des données, il sert à extorquer des fonds. Une fois les applications installées, elles bombardent l’utilisateur de messages indiquant qu’il vient de remporter un cadeau. Pour réclamer son lot, la personne doit renseigner son numéro de téléphone. L’information est ensuite utilisée pour inscrire sans consentement l’utilisateur à un abonnement mensuel de 36€. Les lanceurs d’alerte estiment que les cybercriminels ont empoché des millions d’euros grâce à cette arnaque.

Un risque difficile à détecter : L’entreprise Zimperium souligne dans son message que les créateurs de GriftHorse «ont pris beaucoup de précautions pour ne pas se faire repérer» lors de la conception du logiciel. Plusieurs éléments présents dans le code du programme permettent de passer sous les radars. De plus, les applications s’adaptent au langage des utilisateurs pour ne pas éveiller de soupçons. Ces dispositions ont permis au virus de rester discret suffisamment longtemps pour être téléchargé jusqu’à 17 millions de fois, selon les statistiques de Google Play. L’application la plus populaire «Handy Translator Pro» a par exemple été téléchargée entre 500.000 et 1 million de fois.

Lire la Source : https://www.lefigaro.fr/secteur/high-tech/des-millions-de-telephones-infectes-par-le-logiciel-malveillant-grifthorse-20210930

© par Bernard TRITZ

Android – Cheval de Troie bancaire !

Par Gilbert KALLENBORN – 01net.com – ThreatFabric – Publié le vendredi 30 juillet 2021 à 12h36.

Androids

AndroidCe cheval de Troie bancaire prend le contrôle de votre appareil par VNC : Une application disponible sur le Google Play Store a infecté des milliers d’utilisateurs dans le but de réaliser des fraudes bancaires, au travers d’une technologie classique de prise de contrôle à distance.

Les chercheurs en sécurité de ThreatFabric ont détecté un nouveau type de cheval de Troie bancaire sur les smartphones Android. Baptisé Vultur, il a la particularité d’installer sur le terminal un serveur VNC (Virtual Network Computing), une technologie qui permet la prise en main à distance de systèmes informatiques. Les pirates s’appuient, en occurrence, sur AlphaVNC, une implémentation dédiée aux systèmes Android. Elle permet d’enregistrer en temps réel l’écran d’affichage et d’interagir avec celui-ci.

Parallèlement, ils utilisent des services qui ont pignon sur rue pour gérer les connexions et les échanges. Ainsi, le service ngrok leur permet de contourner les éventuels pares-feux et serveurs NAT qui feraient obstacle, afin de pouvoir accéder au serveur VNC sans encombre.

Le service de notification, Firebase, de Google est également utilisé pour envoyer des commandes depuis un serveur de contrôle. À cet arsenal s’ajoute, enfin, un enregistreur de frappes. C’est plus classique, mais toujours utile.

Une fraude plus difficile à détecter : Selon ThreatFabric, cette façon de faire tranche avec le fonctionnement usuel des chevaux de Troie bancaire sur Android, qui emploient généralement la tactique de l’overlay. Elle consiste à générer de fausses interfaces applicatives qui viennent se superposer aux applications bancaires réelles, dans le but d’intercepter les identifiants.

Vultur, de son côté, peut non seulement intercepter les identifiants, mais aussi intervenir sur le terminal et se connecter aux services bancaires. La fraude peut donc être réalisée directement sur l’appareil de la victime, ce qui évite l’enregistrement d’un nouvel équipement auprès de l’établissement bancaire, qui aura donc plus de mal à détecter l’attaque.

Le malware a été identifié sur la boutique Google Play, où il se faisait passer — comble de l’ironie — pour une application de sécurité appelée « Protection Guard ». Elle aurait été installée plus de 5.000 fois, principalement en Italie, en Australie et en Espagne. Le code malveillant cible plus d’une centaine d’applications bancaires et de cryptowallets.

Lire la Source : https://www.01net.com/actualites/android-ce-cheval-de-troie-bancaire-prend-le-controle-de-votre-appareil-par-vnc-2046596.html

© par Bernard TRITZ