Un nouveau cheval de Troie bancaire a été découvert par les chercheurs de Zimperium. Baptisé Rokarolla, le malware se diffuse via des sites web malveillants, véritables copies conformes des pages de téléchargement officielles de Google Chrome ou de TikTok. L’internaute croit installer une mise à jour de son navigateur ou une version récente de l’application de vidéos, mais il se retrouve en fait avec un virus sur son smartphone Android.
Dans un premier temps, la victime installe un malware compte-gouttes (ou « dropper » en anglais). Ce type de programme malveillant ne cause pas de dégâts sur l’appareil. En fait, son seul but est de glisser discrètement un autre virus sur le smartphone de la victime. Il sert en réalité à contourner les protections de sécurité d’Android. Une fois installé, il déclenche ensuite le vrai logiciel malveillant, qui est souvent bien plus dangereux.
À lire aussi : Cette cyberattaque chinoise a fait « des centaines de milliers de victimes » avec Gemini, Google contre-attaque
Comment Rokarolla se glisse sur votre smartphone ?
Une fois ce leurre installé, il propose lui-même d’installer Chrome ou TikTok. Si l’utilisateur accepte, il va télécharger et installer une application factice, qui cache cette fois le code du malware Rokarolla. Cette installation en deux temps, très répandue dans l’industrie cybercriminelle, permet aux pirates de contourner les mécanismes de sécurité de Google.
Dès son lancement, Rokarolla réclame les permissions d’accessibilité d’Android, ainsi que l’accès aux notifications, aux SMS et aux appels téléphoniques. C’est grâce aux accès, accordés par l’utilisateur, que le logiciel malveillant peut mener à bien ses opérations. Notez que les paramètres d’accessibilité, qui sont initialement censés aider les personnes malvoyantes à se servir de leur smartphone, sont régulièrement détournés par des logiciels malveillants. C’est d’ailleurs le mode opératoire de redoutables maliciels récents, comme Snowblind ou encore Perseus. Dans le cas de la cyberattaque menée par Rokarolla, les permissions donnent au malware le pouvoir d’interagir avec n’importe quelle autre application installée sur le téléphone.
Une liste de 217 cibles
Ensuite, Rokarolla se connecte à des serveurs à distance pour obtenir une série d’instructions. Le virus va notamment recevoir une liste de 217 applications bancaires et de cryptomonnaies. Il s’agit de la liste complète de ses cibles. Comme l’explique Zimperium, on y trouve des établissements bancaires implantés dans le monde entier, et des portefeuilles permettant de stocker des cryptomonnaies. Selon les chercheurs, la liste des cibles est susceptible d’être amendée à tout moment par les cybercriminels.
Une fois la liste reçue, le virus s’apprête à frapper. Pour chacune de ces applications, il va télécharger une fausse page de connexion au format HTML et la stocker dans une base de données locale sur l’appareil. C’est grâce à cette fausse page de connexion que Rokarolla va berner les utilisateurs.
Dès que la victime ouvre son application bancaire, Rokarolla affiche instantanément sa fausse page en superposition. De facto, la victime est persuadée de se trouver sur la véritable application de sa banque lorsqu’elle saisit ses identifiants, mots de passe et coordonnées bancaires. Sans surprise, le virus s’empare des informations et les envoie sur les serveurs des hackers. Ceux-ci peuvent alors s’en servir pour pénétrer sur le compte en banque, et réaliser des virements frauduleux.
À lire aussi : 9 banques européennes sont dans le viseur d’un redoutable malware qui exploite le NFC de votre smartphone
Un arsenal complet et sophistiqué
Comme l’explique le rapport de Zimperium, Rokarolla se distingue par son impressionnant arsenal, composé de 137 commandes distinctes. Ces commandes permettent aux pirates de piloter l’appareil à distance avec une précision chirurgicale. Le virus est notamment en mesure de voler tous les SMS présents sur l’appareil, et ainsi d’intercepter les codes d’authentification envoyés par messages, par exemple par votre banque. Le malware peut également extraire les contacts WhatsApp, enregistrer tout ce qui est tapé sur le clavier, et espionne tout le contenu affiché à l’écran.
Rokarolla peut agir même quand votre téléphone est verrouillé. Le virus commence par s’emparer du code de déverrouillage de votre smartphone, en déployant un écran factice au-dessus de la véritable interface Android. Ces informations sont aussitôt envoyées aux pirates, qui peuvent dès lors prendre le contrôle de votre appareil à distance, même s’il est vérouillé dans votre poche.
Pour rester invisible, Rokarolla cumule les tactiques d’évasion. Il va notamment désactiver Google Play Protect dès les premières minutes de la cyberattaque, masquer son icône dans le tiroir d’applications, couper le son et les vibrations du téléphone, et maintenir l’écran allumé en permanence pour que ses processus en arrière-plan ne soient jamais interrompus. Grâce à cet arsenal, le virus s’impose comme l’une des menaces les plus sophistiquées qui vise actuellement les smartphones Android.
« Rokarolla illustre une nouvelle génération de malwares mobiles capables d’orchestrer des fraudes financières sophistiquées, tout en conservant un contrôle quasi total de l’appareil compromis. Les approches de sécurité traditionnelles basées uniquement sur les signatures ne suffisent plus à détecter ce type de menace hautement dynamique et évolutive », explique Nico Chiaraviglio, ingénieur chez Zimperium.
Rokarolla n’a pas été débusqué sur le Google Play Store. Le malware se propage uniquement par le biais d’APK depuis des sites tiers. Pour vous protéger, cantonnez-vous donc aux apps disponibles sur la boutique de Google. Par ailleurs, méfiez-vous de toute demande de permission d’accessibilité envoyée par une application que vous venez d’installer.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : Zimperium
