ThreatFabric, une entreprise spécialisée dans la cybersécurité et connue pour son travail de fond très poussé sur les malwares grand public, a découvert le mois dernier un nouveau malware Android, baptisé BlackRock. Après avoir fouillé le code source du virus, il s’avère que ce dernier fait partie d’une lignée bien connue : en retraçant son arbre généalogique, les chercheurs se sont rendus compte qu’il descendait d’une lignée qui comprend des noms tristement célèbres comme LokiBot et son successeur Xerxes, dont le code source avait été rendu public en 2019. À chaque fois qu’une telle fuite se produit, différents pirates ne tardent pas à récupérer ce code source pour réutiliser le malware, le plus souvent en reconstruisant leur propre virus sur la base du code repêché. C’est le cas pour quelques noms très connus de la scène des malwares. Cous vous souvenez peut-être d’ Anubis, un autre malware bancaire qui avait fait de gros dégâts pendant l’été 2019. Mais curieusement, aucun autre malware dérivé de Xerxes n’avait été identifié depuis. C’est désormais chose faite avec BlackRock.
L’originalité du petit dernier de cette lignée de braconniers réside dans le choix de ses cibles. Contrairement à ses ancêtres, ce malware ne cible pas que des applications bancaires mais également des applications sociales comme des réseaux sociaux, divers services de messagerie et même des applications de rencontre qui n’avaient jamais été repérées parmi les cibles d’autres malwares. D’après ThreatFabric, il pourrait s’agir d’une tentative de surfer sur la vague d’applications sociales qui déferle sur les différents stores depuis le début de la pandémie, suite au confinement.
Un arsenal assez classique, mais un panel de cibles très étendu
Au niveau de son fonctionnement, pas de grosse surprise : il s’agit d’une attaque relativement standard, dite “par superposition”. Lorsque le malware détecte que l’utilisateur l’utilisateur est sur le point de renseigner ses identifiants quelque part, il va afficher une seconde fenêtre pour intercepter les données en question. Il comporte deux variantes : une qui sert à extraire des coordonnées bancaires, et une autre capable de récupérer un combi identifiant/mot de passe. Mais si ce schéma d’attaque est bien connu, il s’est perfectionné au fil des ans et est aujourd’hui très difficile à détecter une fois le système infecté. Ce qui s’avère assez inquiétant quand on jette un oeil à la liste des cibles de BlackRock : on y trouve des noms bien connus comme PayPal, Outlook, Uber, eBay, Amazon, WeChat, TikTok Lite, Telegram, Twitter, WhatsApp, Tinder… au total, ce sont plusieurs centaines d’application très populaires qui sont visées. La liste complète est disponible en bas du rapport de ThreatFabric, disponible ici.
Après des années de prolifération des malwares bancaires, il se pourrait donc bien que le paradigme change et que les pirates se mettent à cibler davantage d’applications sociales et de messagerie. Si les observations faites sur BlackRock sont représentatives d’une tendance, il faudra donc redoubler de prudence à l’avenir, et ne plus se contenter de faire attention aux applications bancaires. Comme toujours, on ne répétera jamais assez qu’il faut systématiquement se méfier de toute application que l’on télécharge. Car si les applications les plus connues, éditées par des organismes fiables sont systématiquement vérifiées et nettoyées régulièrement, elles restent vulnérables aux malwares qui voyagent par l’intermédiaire d’autres applications qui ne bénéficient pas des mêmes garanties.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.