Sécurité des points finaux, sécurité de l’Internet des objets
De nouvelles variantes volent des codes PIN, affectent plus de 13 000 utilisateurs et exploitent les fonctionnalités d’accessibilité Anviksha Plus (AnvikshaPlus) • 16 octobre 2024
Les opérateurs du cheval de Troie TrickMo veulent inciter les victimes à révéler leur code de déverrouillage Android. (Image : Shutterstock)
Une nouvelle variante d’un cheval de Troie bancaire Android appelée TrickMo incite les victimes à fournir le code de déverrouillage de leur téléphone, permettant ainsi aux pirates de poursuivre leurs opérations, préviennent les chercheurs en cybersécurité.
Voir aussi : SASE : Reconnaître les défis liés à la sécurisation d’une main-d’œuvre hybride
Cleafy a averti en septembre les opérateurs derrière le cheval de Troie distribué via un compte-gouttes déguisé en navigateur Google Chrome. Après l’installation, il affiche un message d’avertissement invitant les utilisateurs à mettre à jour Google Play. Si un utilisateur confirme la mise à jour, le malware TrickMo s’installe comme une application « nommée de manière trompeuse « Services Google » et se présente comme une instance légitime des services Google Play », a écrit la société.
En plus des fonctionnalités telles que l’interception de mots de passe uniques, l’enregistrement d’écran, l’exfiltration de données et le vol d’informations d’identification via de faux écrans, Zymperium a découvert que certaines variantes de TrickMo avaient la « nouvelle tournure dangereuse » de voler le schéma de déverrouillage ou le code PIN de l’appareil.
Pour récupérer le code de déverrouillage, le logiciel malveillant affiche une interface utilisateur HTML trompeuse qui imite l’écran de déverrouillage réel de l’appareil. Parce qu’il est affiché en mode plein écran, il ressemble à un écran légitime. “Lorsque l’utilisateur saisit son schéma de déverrouillage ou son code PIN, la page transmet le code PIN ou les détails du schéma capturés, ainsi qu’un identifiant unique de l’appareil (l’identifiant Android) à un script PHP”, a déclaré Zymperium.
L’analyse du Zymperium montre qu’au moins 13 000 personnes sont touchées par Trickmo, principalement au Canada, avec des victimes également aux Émirats arabes unis, en Turquie et en Allemagne. La société affirme avoir eu accès aux serveurs de commande et de contrôle du cheval de Troie.
Le ciblage étendu de TrickMo inclut la collecte de données provenant d’un large éventail d’applications. Ceux-ci couvrent diverses catégories, telles que la banque, les entreprises, le recrutement, le commerce électronique, le commerce, les médias sociaux, le streaming et le divertissement, le VPN, le gouvernement, l’éducation, les télécommunications et la santé.
#Variantes #cheval #Troie #TrickMo #Codes #déverrouillage #lappareil #cible
