Un nouveau malware menace les appareils Android : Alien est capable de voler les identifiants de pas moins de 226 applications
Alien est de retour pour faire trembler Android. Il ne s'agit pas de l'Alien de Ridley Scott, mais d'un malware effrayant capable de voler les informations d'identification utilisées dans 226 applications. Actif depuis le début de l'année, ce code dangereux a été publié en tant que Malware-as-a-Service (MaaS), ce qui signifie qu'il est disponible pour quiconque souhaite l'utiliser à des fins illicites moyennant un abonnement mensuel.
Bien que le code source de ce qui a commencé sa vie comme un cheval de Troie bancaire soit toujours en cours d'étude, les experts en sécurité informatique de ThreatFabric travaillent déjà à identifier les évolutions possibles du malware. Dans le rapport publié cette semaine, plusieurs de ses caractéristiques apparaissent, comme la possibilité de contrôler complètement l'interface de l'appareil de l'utilisateur malheureux, avec des privilèges allant de la modification des paramètres à l'installation, l'utilisation et la suppression d'applications. Dernier point, et non des moindres, la possibilité de surveiller le smartphone en temps réel, ce qui permet de connaître et d'étudier le comportement de l'utilisateur sans jamais révéler sa présence de l'autre côté de l'écran.
Alien : ce qu'il est et d'où il vient
Le nouveau malware n'est pas si nouveau que cela. En effet, selon les experts informatiques qui ont eu l'occasion de l'analyser, Alien est un dérivé du code source de Cerberus, un autre cheval de Troie bancaire pour Android.
Ce nom peut ne pas sembler totalement inconnu à certains. En fait, le MaaS a été mis en lumière non seulement pour sa dangerosité, mais aussi pour un autre fait curieux. Après avoir essayé et échoué à vendre le code source aux enchères, son créateur a choisi - officiellement par manque de temps, mais probablement par peur de s'impliquer dans des affaires juridiques beaucoup plus risquées - de le diffuser gratuitement auprès de la communauté de hackers qui peuple le Dark Web.
L'histoire de Cerberus semble se conclure aujourd'hui. Google lui-même aurait trouvé un moyen pour son équipe de sécurité de détecter Cerberus et de le supprimer des appareils infectés. Cependant, cela ne semble pas s'appliquer à Alien, malgré le fait que les deux malwares partagent une partie du même code, à tel point qu'il est considéré comme une menace respectable qui pourrait occuper la place laissée vacante par son prédécesseur dans le classement des cyberrisques.
Alien : comment fonctionne le malware
Une fois à l'intérieur de l'appareil, Alien a pratiquement carte blanche. En affichant de faux écrans de connexion, le malware est capable de voler les mots de passe des apps ou, comme déjà mentionné, d'accéder au contenu des apps comme le ferait un utilisateur normal.
Le carnet d'adresses et les messages texte sont également à risque : Alien est capable de voler la liste des contacts, de lire et d'envoyer des messages sans éveiller les soupçons. Tout aussi dangereuses sont les fonctionnalités qui permettent de voler les codes 2FA générés par les apps d'authentification ou d'enregistrer la géolocalisation, et de signaler tout mouvement effectué.
Alien : où le malware s'est le plus répandu
Les pirates qui l'utilisent s'intéressent principalement aux apps bancaires de certains pays, comme l'Italie, l'Espagne, l'Allemagne, les États-Unis, la France, le Royaume-Uni, la Pologne, la Turquie et l'Australie.
Les applications bancaires ne sont toutefois pas les seules à être menacées : les cibles d'Alien comprennent également les applications de réseaux sociaux (Facebook, Twitter, pour n'en citer que quelques-unes), les applications de messagerie instantanée (Telegram et WhatsApp) et les applications de messagerie électronique (comme Gmail).
