Passer au contenu

Alerte rouge sur Android : un virus utilise un outil Google pour vider votre compte bancaire

Le cheval de Troie bancaire RedHook fait son grand retour sur Android. La nouvelle version du virus exploite l’ADB sans fil, un outil de développement légitime de Google, pour s’octroyer des droits élevés sur le smartphone. Une fois installé, le malware peut espionner l’écran, voler des identifiants bancaires et piller les données personnelles de ses victimes.

L’année dernière, les chercheurs de Cyble ont découvert l’existence de RedHook, un redoutable nouveau malware Android. Le cheval de Troie était programmé pour pirater des comptes bancaires en s’infiltrant sur le smartphone de ses cibles. Plus récemment, la société de cybersécurité Group-IB a débusqué une toute nouvelle version du virus, « avec des améliorations significatives ».

Celle-ci exploite Android Debug Bridge (ADB), un outil Google en ligne qui permet à un développeur de communiquer directement avec un appareil Android pour installer des applications, tester du code ou modifier certains réglages du système. Depuis Android 11, Google a introduit une version sans fil de cet outil, directement intégrée aux « Options pour les développeurs ». Elle fonctionne par simple appairage sur le même réseau Wi-Fi, sans avoir besoin d’un câble USB-C. C’est cette nouvelle itération qui est détournée par les cybercriminels.

À lire aussi : 9 banques européennes sont dans le viseur d’un redoutable malware qui exploite le NFC de votre smartphone

Comment se déroule une cyberattaque signée RedHook ?

Tout commence par un appel téléphonique ou un message. Dans l’échange, les attaquants se font passer pour des agents gouvernementaux ou des employés d’une banque. Sur les conseils de l’interlocuteur, la cible va se rendre sur un faux site imitant le Google Play Store. Sur ce site, partagé par le biais d’une URL, elle va télécharger une application malveillante sans s’en rendre compte.

Une fois installée, l’application demande à accéder au « Service d’accessibilité » d’Android. Ces paramètres sont censés aider les personnes malvoyantes à se servir de leur smartphone. Ils sont régulièrement détournés par les pirates, par le biais de virus comme Snowblind, Medusa ou encore Klopatra. En réalité, RedHook utilise cette permission pour piloter l’appareil à la place de l’utilisateur. Sans que la cible ne comprenne ce qu’il se passe, le virus ouvre lui-même les paramètres, active les « Options pour les développeurs », et enclenche le débogage sans fil par le biais d’Android Debug Bridge. Toutes ces manipulations sont invisibles. Pour passer inaperçu, RedHook affiche un écran factice qui va camoufler ce qu’il fait vraiment.

Une prise de contrôle totale

Pour se connecter à Android Debug Bridge, le virus va même s’emparer du code d’appairage affiché à l’écran du smartphone. Par le biais de l’outil, le malware s’octroie les mêmes droits d’accès qu’un développeur lorsqu’il branche son téléphone à un ordinateur pour déboguer une application. Il peut installer ou désinstaller des applications, modifier des réglages système habituellement verrouillés, lire les journaux techniques de l’appareil, ou encore lancer des commandes réservées normalement aux outils de développement. Tout ça se déroule à l’insu de la victime.

Une fois ces droits obtenus, le cheval de Troie va pouvoir surveiller en direct l’écran de la victime, enregistrer les frappes sur le clavier, et voler des identifiants. En clair, le virus pille vos données, s’empare de vos mots de passe, et espionne tout ce que vous faites sur votre téléphone. RedHood dispose d’un arsenal composé de 53 commandes différentes, dont l’enregistrement de captures d’écran, le verrouillage ou déverrouillage du téléphone, la collecte des contacts et des SMS, ou l’affichage de fausses fenêtres de confirmation. Le logiciel peut également redémarrer l’appareil à distance en cas de besoin.

Un virus en pleine expansion

En fouillant dans le code du virus, les chercheurs ont déniché des fonctions dormantes qui laissent penser que les pirates envisagent aussi de cibler spécifiquement certaines marques de smartphones, comme Samsung, Xiaomi, Oppo, Vivo, Huawei, Meizu et Google. Initialement cantonné au Vietnam, le malware se propage actuellement à d’autres pays d’Asie. Il n’est pas impossible que le virus finisse par s’en prendre aux appareils d’autres contrées, comme l’Europe.

Face à la menace RedHook, il est important de redoubler de prudence et de ne jamais installer d’applications par le biais d’un site reçu par SMS ou lors d’un appel téléphonique. Avant d’installer une application, ouvrez d’abord l’app Play Store sur votre appareil, et ne vous fiez pas aveuglément à votre interlocuteur.

👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.


Florian Bayard