Le virus BianLian est de retour sur le Play Store et il combine six modules pour voler un maximum de données confidentielles, dont les coordonnées bancaires. Il est notamment capable d’enregistrer à distance tout ce qui s’affiche sur l’écran.

L’expert en cybersécurité Fortinet a publié un billet détaillant une nouvelle attaque contre les smartphones et tablettes utilisant le système Android, qui vise à subtiliser notamment les informations d’applications bancaires, mais également d’autres données sensibles.

Le malware est adepte du camouflage, raison pour laquelle les chercheurs l’ont baptisé BianLian, du nom de l’art vivant chinois où l’artiste change régulièrement de masque de manière imperceptible.

Il avait déjà été détecté en 2018, mais avait un fonctionnement un peu différent. Il ne servait alors pas à espionner les utilisateurs, mais à installer d’autres malwares.

Son développeur s’était donc concentré sur le camouflage, l’intégrant dans des applications parfaitement fonctionnelles afin d’obtenir de bonnes notes sur le Play Store de Google et inciter les utilisateurs à les garder le plus longtemps possible.

Un malware qui a beaucoup évolué

Un malware Android enregistre ce qui s'affiche sur votre écran
Un malware Android enregistre ce qui s’affiche sur votre écran

À l’époque, BianLian s’était fait connaître notamment comme le système d’installation du malware Anubis, qui visait à voler les identifiants bancaires.

Cette fois, l’application fonctionne seule et intègre différentes fonctions pour voler les données des victimes.

Il commence par cacher son icône et demande constamment l’autorisation d’utiliser certaines fonctionnalités des services d’accessibilité d’Android jusqu’à ce que l’utilisateur accepte.

Une fois l’accès obtenu, le malware dispose de six modules pour tenter de voler des informations sensibles. Un premier module texte, pour consulter le contenu des SMS et même en envoyer.

Un second module sert à passer des appels et utiliser des codes USSD, des commandes propres à chaque opérateur qui permettent d’obtenir des informations, comme le crédit d’appel restant, ou activer des options.

Un troisième module ajoute des éléments par-dessus d’autres applications. Par exemple, au moment de saisir ses identifiants sur son application bancaire, le malware remplace les champs pour les identifiants par de faux champs afin d’en voler le contenu.

Les applications vérolées vous demandent d'accéder à certaines fonctions confidentielles, et si vous cliquez sur OK sans vérifier, le mal est fait. © Fortinet
Les applications vérolées vous demandent d’accéder à certaines fonctions confidentielles, et si vous cliquez sur OK sans vérifier, le mal est fait. © Fortinet

BianLian envoie même des captures d’écran

Ce sont deux autres modules qui ont le plus intrigué les chercheurs. Un module Socks5 crée un serveur SSH sur l’appareil, ce qui permet des communications sécurisées et difficiles à détecter avec le serveur de commande du malware.

Un autre module permet d’enregistrer l’écran. Cette fonction peut même être déclenchée à distance et déverrouiller l’appareil. Enfin, un dernier module, plus simple, se contente de verrouiller l’écran pour empêcher l’utilisateur d’accéder à l’appareil une fois le vol des données terminé.

D’après Fortinet, BianLian serait encore en développement actif, ce qui laisse craindre de nouvelles évolutions encore plus problématiques. En attendant, les antivirus mobiles (notamment celui de Fortinet…) devraient être en mesure de le détecter, sans oublier de faire attention à ne pas accorder d’autorisations à une application sans en comprendre les raisons.CE QU’IL FAUT RETENIR

  • Un virus très dangereux est de retour sur le Play Store.
  • Il combine plusieurs outils sophistiqués pour déjouer les protections.
  • Il piège l’utilisateur en superposant de faux formulaires par-dessus les habituels champs à remplir.
Publicités

Laisser un commentaire