Un nouveau malware Android baptisé Herodotus se propage dans plusieurs pays. Ce virus d’un parvient à imiter le comportement humain afin contourner les protections d’Android. Son but : piller votre compte en banque et voler toutes vos données. Les smartphones Android sont la cible d’un nouveau logiciel malveillant. Découvert par les experts de Threat Fabric, le malware a été baptisé Herodotus. Il se distingue par sa capacité à contourner les mécanismes de détection et de sécurité d’Android en se faisant passer pour un être humain.
Comment le virus se fait passer pour un humain ?
Concrètement, le virus est capable de simuler la manière dont un être humain tape du texte sur le clavier smartphone. En imitant le comportement d’un véritable utilisateur, Herodotus berne les solutions de sécurité. Il peut alors faire ce qu’il veut sur le smartphone sans la moindre entrave. L’attaque d’Herodotus commence lorsque la cible reçoit un SMS frauduleux. Ce SMS contient un lien incitant à installer une fausse application sur le téléphone. En cliquant sur le lien, la victime télécharge un maliciel uniquement conçu pour télécharger et installer la véritable charge malveillante, à savoir Herodotus. Celui-ci essaie aussitôt d’obtenir les permissions d’accessibilité, indispensables pour contrôler le téléphone de fond en comble. Pour tromper la vigilance de l’utilisateur, Herodotus affiche un écran de chargement factice pendant la configuration des autorisations, masquant les étapes les plus critiques. De facto, la cible ne se rend pas compte qu’elle accorde l’accès à des fonctions sensibles au logiciel malveillant. Une fois les accès accordés, le malware peut interagir avec l’interface Android, comme n’importe quel utilisateur. Il peut toucher l’écran, faire défiler, aller en arrière, et surtout, saisir du texte dans n’importe quelle application, comme celle de votre banque ou de votre plateforme d’échange de cryptomonnaies. À ce stade, un maliciel risque de se faire repérer à cause de son comportement. En effet, les logiciels n’interagissent pas avec l’interface comme le ferait un véritable utilisateur. Les solutions de sécurité sont en effet configurées pour analyser les mouvements et la cadence de frappe. Ceux-ci sont généralement trop rapides chez les robots. Pour passer sous le radar, Herodotus utilise un module intitulé « humanizer » qui va contribuer à rendre son comportement plus humain. Le module introduit des délais aléatoires, de 0,3 à 3 secondes, pour chaque caractère saisi. Ces délais font penser que les frappes proviennent de l’utilisateur, et non d’un programme informatique. C’est l’un des premiers virus à « tenter d’humaniser des actions à distance ». « Les systèmes de détection comportementale basiques, qui se contentent de mesurer les délais de saisie, peuvent générer des évaluations de risque erronées et sous-estimées, ce qui permet justement au malware de passer entre les mailles du filet », relate Threat Fabric.
Prise de contrôle total du smartphone
Par le biais d’Herodotus, le pirate peut prendre le contrôle de votre smartphone sans éveiller les soupçons. Il peut envoyer des SMS, afficher de faux écrans de connexion pour voler vos identifiants bancaires ou vos clés privées, ou encore intercepter des codes de connexion reçus par SMS. Bref, il peut siphonner votre compte, voler vos cryptos ou encore pirater vos services en ligne. Pour le moment, Herodotus est proposé par le biais d’un abonnement de type Malware-as-a-Service. N’importe quel hacker en herbe peut utiliser le virus en réglant simplement le prix d’un abonnement aux créateurs du malware. En ce moment, les attaques se concentrent sur l’Italie et le Brésil, mais pourraient s’étendre à d’autres pays dans un avenir proche. Les chercheurs ont d’ailleurs déjà observé plusieurs variantes du programme sur le web. Comme toujours, on vous conseille de ne pas vous fier à des applications inconnues partagées par SMS. Limitez-vous aux applications disponibles sur le Google Play Store et aux apps conçues par des développeurs réputés.
01Net
Poster un Commentaire