Un nouveau Cheval de Troie s’attaque aux utilisateurs Android. Ce dernier a été détecté pour la première fois par ESET au mois de novembre 2018. Lukas Stefanko, chercheur en cybersécurité chez l’entreprise technologique a notamment déclaré dans un article que l’application Optimization Android cache un dangereux malware.
Celui-ci ciblerait vraisemblablement les utilisateurs de l’application officielle PayPal.
À l’heure actuelle, le programme malveillant se ferait passer pour un outil d’optimisation de la batterie et est distribué via des magasins tiers d’applications.
Après son lancement, l’application malveillante se ferme sans offrir aucune fonctionnalité et masque son icône. Dès lors, le malware s’attaque non seulement à l’application PayPal, mais également à d’autres applications.
Le programme malveillant cible PayPal
Le programme malveillant vise avant tout à voler de l’argent sur les comptes PayPal des utilisateurs. Toutefois, il est incapable d’opérer sans l’activation d’un service bien particulier.
D’après le rapport d’ESET, le service en question se présente comme un élément inoffensif aux yeux des utilisateurs. Il est notamment indiqué qu’il appartient au service « Enable statistics ».
Si l’application officielle PayPal est installée sur le smartphone, le logiciel malveillant génère une notification invitant l’utilisateur à le lancer. Mais une fois que l’application est lancée et que l’utilisateur est connecté, le malware entre en jeu et reproduit les clics de l’utilisateur pour envoyer de l’argent à l’adresse PayPal du pirate informatique.
Voici le rapport de l’ESET :
Au cours de notre analyse, l’application a tenté de transférer 1 000 euros. Toutefois, la devise utilisée dépend de la localisation de l’utilisateur. L’ensemble du processus prend environ 5 secondes et, pour un utilisateur peu méfiant, il n’existe aucun moyen réalisable d’intervenir à temps.
Comme le logiciel malveillant ne repose pas sur le vol des identifiants de connexion PayPal et attend que les utilisateurs se connectent eux-mêmes à l’application officielle PayPal, il contourne également l’authentification à deux facteurs de PayPal (2FA). Les utilisateurs dotés de la fonctionnalité 2FA ne font que compléter une étape supplémentaire lors de la connexion, comme ils le feraient normalement, mais ils sont tout aussi vulnérables à l’attaque de ce cheval de Troie que ceux qui n’utilisent pas 2FA.
Un Malware ultra performant
Contrairement à la plupart des trojans bancaires, celui-ci ne vole pas les identifiants et les mots de passe des utilisateurs : « Les pirates n’échouent que si l’utilisateur a un solde PayPal insuffisant et aucune carte de paiement connectée au compte. »
Mais ce n’est pas tout, il profite également de son accès au smartphone pour voler les identifiants Google Play, WhatsApp, Skype, Viber et Gmail dans le but d’en apprendre plus sur les coordonnées bancaires de l’utilisateur.
De cette façon, il peut intercepter et envoyer des SMS ou bien s’emparer de ses contacts.