Si vous utilisez quotidiennement votre téléphone Android services bancaires en ligne, réseaux sociaux, travail ou cryptomonnaiesVous souhaitez en savoir plus sur les logiciels malveillants mobiles de nouvelle génération. Ces derniers mois, trois familles particulièrement dangereuses ont été détectées : FvncBot, SeedSnatcher et ClayRat. Ces logiciels malveillants portent les attaques à un niveau bien supérieur aux virus classiques qui se contentent d’afficher des publicités ou de ralentir votre téléphone.
Loin d'être de simples applications agaçantes, ces menaces combinent Ingénierie sociale sophistiquée, abus des services d'accessibilité, superpositions d'écran et contrôle à distance espionner l'utilisateur, voler de l'argent dans les banques et les portefeuilles de cryptomonnaies, intercepter les SMS contenant des codes d'authentification à deux facteurs, et même déverrouiller automatiquement l'appareil alors qu'il semble être « éteint » ou en cours de mise à jour système.
Un paysage de logiciels malveillants Android de plus en plus agressif
L'écosystème Android est en mouvement aujourd'hui Des milliards d'appareils qui centralisent les paiements, l'authentification à deux facteurs, les communications privées et l'accès aux services d'entrepriseCette omniprésence a fait de la plateforme une cible privilégiée à la fois pour les gangs de cybercriminels motivés par le gain financier et pour les acteurs avancés (APT) bénéficiant potentiellement du soutien d'un État.
Des enquêtes menées par des entreprises comme Intel 471, CYFIRMA et Zimperium Ils ont mis au jour des campagnes où les attaquants combinent des programmes d'installation obfusqués, des sites Web d'hameçonnage quasi parfaits et distribution via Telegram pour installer subrepticement des fichiers APK malveillants. Ensuite, l'astuce consiste à obtenir de l'utilisateur des autorisations critiques : accessibilité, lecture et envoi de SMS, superposition d'écran, voire définition de l'application comme application de messagerie par défaut.
Ces nouvelles familles de logiciels malveillants exploitent fonctionnalités système légitimes telles que le service d'accessibilité, l'API MediaProjection ou le système de superposition transformer les téléphones portables en un outil d'espionnage et de fraude très difficile à détecter. Souvent, la victime ne remarque que quelques scintillements étranges sur l'écran, une augmentation de la consommation de batterie ou de données, et rien de plus. Pour contrer cela, Google développe fonctions de détection avancées en temps réel qui visent à atténuer ces techniques.
Dans ce contexte, trois noms se distinguent et reviennent fréquemment dans les rapports techniques les plus récents : FvncBot, axé sur les opérations bancaires ; SeedSnatcher, spécialisé dans le vol de phrases de récupération et de clés de portefeuille ; et ClayRat, un logiciel espion modulaire visant à prendre le contrôle total de l’appareil.Leurs approches sont différentes, mais elles partagent la même idée : rester dans le terminal le plus longtemps possible sans éveiller les soupçons.
FvncBot : cheval de Troie bancaire avec contrôle à distance de type VNC
FvncBot est un Cheval de Troie d'accès à distance (RAT) et logiciel malveillant bancaire pour Android Développé à partir de zéro, sans réutiliser le code d'autres chevaux de Troie populaires comme ERMAC, ce qui le rend particulièrement dangereux, c'est qu'il combine des capacités de vol d'informations, de superposition d'écran et de contrôle à distance basé sur VNC (HVNC) pour exécuter une fraude financière en temps réel, à l'instar d'autres logiciels malveillants similaires. récentes campagnes de chevaux de Troie bancaires.
Leur campagne la plus connue vise à Les clients de mBank Mobile Banking en PolognePour tromper les utilisateurs, elle se fait passer pour une application de sécurité légitime de la banque. Cette application frauduleuse agit comme un dropper et est protégée par un service d'obfuscation et de chiffrement appelé apk0day (proposé par Golden Crypt), ce qui complique l'analyse statique et la détection par les solutions de sécurité.
Lorsque l'utilisateur ouvre la fausse application, il voit un message l'invitant à installer une application. « Composant Google Play » qui promet une stabilité ou une sécurité accruesCe composant n'est autre que la charge utile FvncBot, installée à l'aide d'un mécanisme basé sur une session conçu pour contourner les restrictions d'accessibilité introduites avec Android 13.
Une fois déployé, le logiciel malveillant invite l'utilisateur à activer le services d'accessibilitéSi la victime donne son accord, FvncBot acquiert une sorte de « superpouvoir » : il peut lire tout ce qui s'affiche à l'écran, savoir quelles applications sont ouvertes, simuler des clics et des glissements, recouvrir d'autres applications avec de faux écrans et enregistrer ce qui est saisi dans des formulaires sensibles, tels que les identifiants bancaires. Abus du service d'accessibilité C'est une constante dans les campagnes modernes.
Au cours de l'exécution, Les événements de journalisation et de télémétrie sont envoyés à un serveur distant associé au domaine naleymilva.it.comLes échantillons analysés ont montré des références telles que l'identifiant de build call_pl (qui désigne la Pologne comme pays cible) et une version 1.0-P, ce qui correspond à un logiciel malveillant encore à un stade précoce mais évoluant rapidement.
Après l'enregistrement de l'appareil, FvncBot communique avec son infrastructure de commande et de contrôle via HTTP et Firebase Cloud Messaging (FCM)De cette manière, les opérateurs peuvent envoyer des commandes en temps réel, activer ou désactiver des modules et adapter le comportement du cheval de Troie en fonction de la victime ou de la campagne en cours.
Ses fonctions documentées incluent des capacités de contrôle à distance et d'espionnage très avancées, telles que : Initier et arrêter les connexions WebSocket pour gérer à distance l'appareil, exfiltrer les événements d'accessibilité, lister les applications installées et envoyer des données de configuration de terminal détaillées au serveur..
De plus, le cheval de Troie est prêt à montrer superpositions plein écran imitant les interfaces bancaires ou d'autres servicesL'objectif est de capturer des identifiants, des cartes ou des codes à usage unique. Une fois volé, l'appareil peut supprimer le dispositif de manière quasi imperceptible pour l'utilisateur, hormis peut-être un léger scintillement.
L'une des caractéristiques les plus frappantes est l'utilisation intensive de L'API MediaProjection permet de diffuser en temps réel ce qui se passe à l'écran.Combinée au contrôle à distance HVNC, cette technique permet aux attaquants d'utiliser l'application bancaire quasiment comme s'ils possédaient le téléphone, même pour les applications bloquant les captures d'écran grâce à l'option FLAG_SECURE. Cette technique a déjà été observée dans d'autres cas. cas de vol de données bancaires.
Pour contourner cette protection, FvncBot intègre un « Mode texte » permettant d'inspecter les éléments de conception et d'interface même s'il est impossible d'effectuer une capture visuelle traditionnelle.Ainsi, même si l'application bancaire empêche les captures d'écran, les logiciels malveillants peuvent lire les champs et les boutons grâce au service d'accessibilité.
Aucun vecteur de distribution définitif n'a encore été publié, mais compte tenu des similitudes avec d'autres chevaux de Troie bancaires Android, il est très probable qu'il utilisera... campagnes de smishing (messages SMS d'hameçonnage), messages instantanés contenant des liens vers des fichiers APK et des boutiques d'applications tierces proposant de fausses applications bancaires ou des outils de sécurité manipulésBien que la configuration actuelle soit en polonais, adapter les textes, les logos et les modèles pour d'autres pays et banques est relativement simple.
SeedSnatcher : chasseur de phrases de récupération et de clés privées de cryptomonnaies
Alors que FvncBot se concentre sur les services bancaires traditionnels, SeedSnatcher est conçu spécifiquement pour Voler les phrases de récupération, les clés privées et les données sensibles des portefeuilles de cryptomonnaiesIl s'agit, en substance, d'un voleur d'informations mobile hautement axé sur l'écosystème crypto et tout ce qui l'entoure.
Ce logiciel malveillant est principalement distribué via Telegram et les réseaux sociaux, sous des noms comme « Coin » et des variantes liées à l'investissement ou aux portefeuilles électroniquesLes opérateurs créent des chaînes et des groupes qui simulent des communautés de trading, des projets NFT ou des outils de gestion de portefeuille, à partir desquels ils partagent des liens vers des APK prétendument légitimes ; ce mode de distribution est similaire à celui détecté dans d'autres alertes telles que les campagnes de fausses applications et les chaînes Telegram.
Une caractéristique essentielle est que l'application malveillante, dès son installation, Essayez de passer inaperçu en demandant peu de permis d'entrée. (par exemple, l'accès aux SMS ou aux fonctions de base), juste assez pour ne pas déclencher d'alarmes chez l'utilisateur ou certaines solutions de sécurité basées sur des modèles d'autorisation excessifs dès le premier démarrage.
SeedSnatcher déploie discrètement un arsenal technique remarquable en arrière-plan. Profitez-en ! chargement dynamique de classes, injection de contenu furtive dans les composants WebView et instructions de commande basées sur des entiersCela rend l'analyse et la détection de code à l'aide de signatures statiques beaucoup plus difficiles.
Lorsque le logiciel malveillant détecte que la victime utilise des applications de portefeuille électronique ou d'échange, il affiche Des superpositions d'hameçonnage très crédibles qui imitent l'apparence d'interfaces légitimes Depuis les portefeuilles numériques, les écrans de récupération ou les processus de vérification, l'utilisateur croit restaurer son portefeuille ou valider son identité, alors qu'en réalité, il saisit sa phrase de récupération dans un formulaire contrôlé par les attaquants.
En plus des phrases d'amorçage, SeedSnatcher intercepte silencieusement Récupérer les codes d'authentification à deux facteurs (2FA) des SMS entrantsCela facilite le piratage de comptes sur les plateformes d'échange et autres services qui utilisent encore les SMS comme second facteur de sécurité. Ce type de vol de messages rappelle les techniques utilisées par les chevaux de Troie qui s'attaquent aux communications et aux comptes. dans la messagerie et les SMS.
Les logiciels malveillants profitent également de cette opportunité pour exfiltrer des informations supplémentaires de l'appareil : contacts, historique des appels, fichiers, métadonnées et autres informations pouvant être revendues ou utilisées pour d'autres fraudes.Tout ceci est envoyé à leur serveur de commande et de contrôle via des mécanismes de communication obscurcis.
Les investigations attribuées à CYFIRMA suggèrent que les opérateurs de SeedSnatcher seraient acteurs basés en Chine ou parlant chinois, suite à des instructions trouvées dans cette langue à la fois dans des panneaux de contrôle et dans des messages partagés via Telegram concernant le logiciel malveillant.
Concernant l'élévation de ses privilèges, SeedSnatcher suit une stratégie progressive : Il commence par des autorisations minimales et, une fois la confiance établie, demande l'accès au gestionnaire de fichiers, aux superpositions, aux contacts, aux journaux d'appels et à d'autres ressources sensibles.Cette approche progressive réduit la probabilité que l'utilisateur devienne méfiant face à un afflux de requêtes dès la première utilisation.
Le mélange de superpositions réalistes, Vol de l'authentification à deux facteurs par SMS, surveillance du presse-papiers et exfiltration silencieuse de données Cela fait de SeedSnatcher une menace critique pour toute personne gérant des cryptomonnaies depuis son appareil mobile, en particulier si elle utilise des portefeuilles non dépositaires basés sur des phrases de récupération qui, une fois divulguées, exposent complètement les fonds.
ClayRat : logiciel espion modulaire offrant un contrôle quasi absolu de l’appareil
ClayRat représente le visage le plus orienté espionnage à longue portée et contrôle persistant des dispositifsIl s'agit d'un logiciel espion modulaire pour Android dont les fonctions se sont étendues version après version, devenant une plateforme très complète pour la surveillance des victimes et l'utilisation de leurs téléphones comme nœuds de distribution.
Des recherches récentes menées par Zimperium et d'autres laboratoires de sécurité montrent que ClayRat s'appuie sur Des campagnes massives d'hameçonnage et d'usurpation d'identité ciblent des applications populaires comme WhatsApp, TikTok, YouTube, Google Photos ou les services de taxi et de stationnement.Les pirates créent des pages qui imitent parfaitement le Google Play Store ou les sites web officiels de ces applications, y compris de faux avis, des compteurs de téléchargement gonflés et des commentaires positifs générés automatiquement.
Lorsque la victime télécharge la prétendue application, elle reçoit en réalité un un programme d'installation léger contenant un logiciel espion cryptéCe programme d'installation peut afficher des écrans imitant les mises à jour de Google Play ou les processus d'installation officiels, tout en déployant en arrière-plan une charge utile malveillante, contournant ainsi certains mécanismes de protection d'Android. Cette utilisation de programmes d'installation rappelle les techniques décrites dans les analyses de chargeurs et de programmes d'installation.
ClayRat demande des autorisations essentielles telles que accès aux SMS, aux contacts, à l'appareil photo, au microphone et au service d'accessibilitéUne fois connecté, l'utilisateur peut définir cette application comme application de messagerie par défaut, lui permettant de lire, modifier et envoyer des SMS sans que d'autres applications ou l'utilisateur lui-même ne s'en aperçoivent.
Les logiciels espions peuvent Consulter l'historique des appels, recevoir des notifications, prendre des photos avec la caméra frontale, extraire des SMS et passer des appels.Zimperium souligne qu'en ayant également accès au carnet d'adresses, le logiciel malveillant peut lancer des campagnes d'ingénierie sociale directement depuis le téléphone infecté, en envoyant des SMS contenant des liens à d'autres victimes qui, faisant confiance à l'expéditeur connu, baissent leur garde.
Dans les versions récentes, ClayRat a intégré un ensemble de commandes reçues de son serveur C2, allant de lister les applications installées (get_apps_list), collecter les journaux d'appels (get_calls) ou prendre des photos (get_camera), jusqu'aux fonctions permettant de voler des SMS à grande échelle (get_sms_list, messms), d'envoyer des messages ou de passer des appels (send_sms, make_call) et d'obtenir des informations détaillées sur l'appareil ou son réseau (get_device_info, get_proxy_data).
La communication avec l'infrastructure des attaquants s'effectue via Chiffrement AES-GCM et utilisation de tunnels WebSocket pour camoufler le trafic HTTP/HTTPSDe plus, les données sont envoyées par blocs afin de rendre leur détection par les systèmes de surveillance réseau plus difficile.
L'une des capacités les plus inquiétantes est la Déverrouillage automatique de l'appareil, que vous utilisiez un code PIN, un schéma ou un mot de passe.En tirant parti du service d'accessibilité et de l'automatisation gestuelle, ClayRat peut déverrouiller l'écran en cas de besoin, enregistrer ce qui se passe, manipuler des applications, puis laisser le téléphone apparemment inactif, sans que l'utilisateur ait à saisir ses identifiants à chaque fois.
Le logiciel malveillant déploie également superpositions simulant des écrans de mise à jour système, des écrans noirs ou des fenêtres de maintenanceCes techniques servent à dissimuler une activité malveillante pendant que les attaquants interagissent avec l'appareil. Durant ce temps, l'utilisateur, persuadé de participer à une mise à jour légitime, ne touche généralement à rien.
Zimperium a identifié au moins 25 domaines d'hameçonnage imitant des services tels qu'un prétendu « YouTube Pro » avec lecture en arrière-plan et 4K HDROutre les fausses applications de taxi et de stationnement, notamment dans des régions comme la Russie, des centaines d'échantillons de logiciels malveillants et des dizaines de programmes d'installation différents associés à cette campagne ont été répertoriés, ce qui en fait l'une des plus actives au monde.
La combinaison des abus d'accessibilité, Autorisations SMS par défaut, enregistrement d'écran, fausses notifications et superpositions persistantes Cela rend la version actuelle de ClayRat beaucoup plus difficile à supprimer que les versions précédentes, où l'utilisateur avait encore la possibilité de désinstaller l'application suspecte ou d'éteindre l'appareil lorsqu'il détectait quelque chose d'inhabituel.
Tactiques courantes : accessibilité, superpositions et techniques d’évasion avancées
Bien que FvncBot, SeedSnatcher et ClayRat aient des objectifs différents, ils partagent un ensemble de Techniques et tactiques qui deviennent la norme dans les logiciels malveillants Android modernesLes comprendre est essentiel pour savoir pourquoi ces attaques fonctionnent si bien.
Le pilier central est le utilisation abusive systématique du service d'accessibilité AndroidConçu initialement pour aider les personnes handicapées, ce service lit le contenu de l'écran, détecte les changements d'interface et automatise des actions comme les clics et le défilement. Utilisé correctement, il améliore l'expérience utilisateur ; mal utilisé, il offre aux attaquants une visibilité quasi complète sur les actions de l'utilisateur.
Le deuxième élément commun est l'utilisation intensive de superpositions placées au-dessus d'autres applicationsGrâce à ces vulnérabilités, les logiciels malveillants peuvent afficher de faux formulaires de connexion, des écrans de mise à jour ou des notifications système alors que la véritable application s'exécute en arrière-plan. La victime saisit ses identifiants en croyant se connecter à son application bancaire, son portefeuille électronique ou son service favori, alors qu'en réalité, elle utilise une interface contrôlée par l'attaquant.
En outre, les techniques de Techniques d'évasion avancées : obfuscation du code à l'aide de services tels que apk0day, chargement dynamique des composants depuis le serveur C2, chiffrement du trafic et utilisation d'instructions de commande compactes. ce qui rend le comportement du logiciel malveillant moins évident lors d'une analyse superficielle.
En matière de communication, ces chevaux de Troie s'appuient sur Messagerie cloud Firebase, connexions WebSocket et canaux HTTP/HTTPS chiffrés qui se fondent facilement dans le trafic normal de l'appareil. Il devient ainsi très difficile de distinguer, au niveau du réseau, les requêtes légitimes de celles qui relèvent de l'exfiltration de données ou de la réception de commandes.
Enfin, l’élément humain : toutes ces campagnes reposent sur Une ingénierie sociale très sophistiquée, avec des applications qui imitent les composants de Google Play, les outils de sécurité, les versions « Pro » des plateformes populaires ou les applications de services courants comme le stationnement et les taxis.L’objectif est le même : inciter l’utilisateur à installer manuellement le fichier APK et à cliquer sur « Accepter » pour des autorisations qui, à y regarder de plus près, paraîtraient suspectes.
Comment protéger votre appareil Android contre FvncBot, SeedSnatcher et ClayRat
Il n'existe pas de protection parfaite, mais l'application de quelques Les bonnes pratiques de base réduisent considérablement les risques de se retrouver avec un téléphone portable compromis. par ces familles de logiciels malveillants ou par d'autres similaires qui pourraient apparaître.
La première règle, aussi évidente qu'elle puisse paraître, reste fondamentale : Installez uniquement des applications provenant de Google Play ou des sites web officiels des fournisseurs.Le téléchargement de fichiers APK depuis des forums, des chaînes Telegram, des liens SMS ou des pages promettant des versions gratuites d'applications payantes est aujourd'hui l'un des principaux points d'entrée des logiciels malveillants mobiles.
Il est également crucial Maintenez toujours à jour votre système d'exploitation et vos applications.Les correctifs de sécurité corrigent les vulnérabilités exploitées par de nombreux chevaux de Troie, vulnérabilités qui pourraient être évitées simplement en activant les mises à jour automatiques ou en vérifiant régulièrement la disponibilité de nouvelles versions ; d’ailleurs, Google publie des alertes à ce sujet. vulnérabilités critiques qui doivent être pris en compte.
Un autre point essentiel concerne la gestion des permissions. Avant d'accepter sans réserve, il est judicieux de se demander si Il est logique qu'une application spécifique demande l'accès aux SMS, à l'accessibilité, aux contacts, à l'historique des appels ou à l'administration de l'appareil.Une application permettant de consulter la météo ou de lire des vidéos ne devrait pas avoir besoin de ces autorisations, et si c'est le cas, la chose sage à faire est d'annuler l'installation.
En matière d'authentification, il est très utile d'utiliser Des mots de passe forts et uniques pour chaque service, et l'activation de l'authentification à deux facteurs (2FA) sont également requises. Dès que possible. Même si certains logiciels malveillants tentent d'intercepter les codes envoyés par SMS, vous créerez une barrière supplémentaire pour les attaquants, rendant plus difficile le vol massif de comptes.
Dans la mesure du possible, il est préférable de remplacer les SMS par Des méthodes d'authentification à deux facteurs plus robustes, telles que les applications d'authentification ou les clés de sécurité physiques, sont nécessaires.Ces mécanismes sont moins vulnérables aux voleurs d'informations comme SeedSnatcher, qui reposent précisément sur la lecture silencieuse des SMS.
Pour les utilisateurs réguliers ou à risque élevé, il est judicieux de compléter ces recommandations par solutions de sécurité mobile spécifiques Ils permettent de détecter les comportements anormaux, les abus d'accès, les connexions suspectes et les fichiers APK obfusqués. Ce ne sont pas des solutions miracles, mais ils constituent une couche de protection supplémentaire qui, dans de nombreux cas, peut faire toute la différence ; découvrez leur fonctionnement. Google Play Protect en première ligne de défense.
Dans les environnements d'entreprise, les organisations devraient mettre en œuvre Politiques de gestion des appareils mobiles (MDM) et stratégies BYOD clairesLimiter l'installation d'applications non autorisées, séparer les profils personnels et professionnels, exiger le chiffrement complet de l'appareil et surveiller les indicateurs de compromission sont des mesures fondamentales pour empêcher qu'un téléphone portable utilisé comme outil de travail ne devienne une porte d'entrée vers le réseau interne.
Au-delà des outils, la formation est essentielle : Apprenez aux employés et aux utilisateurs à identifier les faux sites Web, les liens de téléchargement douteux, les écrans d'autorisation suspects et les techniques d'hameçonnage par SMS ou messagerie. Cela réduit considérablement l'efficacité des campagnes de logiciels malveillants mobiles.
L'émergence et l'évolution rapide de FvncBot, SeedSnatcher et ClayRat démontrent clairement que la cybercriminalité se concentre désormais sur les appareils mobiles.Nos téléphones étant devenus des cibles privilégiées, il est essentiel, pour les particuliers comme pour les entreprises, de vérifier les applications installées, les autorisations accordées et la gestion des comptes bancaires et des cryptomonnaies. Partagez ces informations et aidez les autres utilisateurs à prendre conscience des logiciels malveillants Android.