Anubis : le malware Android qui peut vider votre compte bancaire ou votre solde depuis une application Web !

Réminiscence de Juin 2018, Security Intelligence mettait déjà à l'époque, pourtant, en garde : voici que le malware Anubis frappe à nouveau avec une variante nouvelle : l'exploit depuis Twitter ou Telegram.

 

 

Pour rappel, si le malware n'en est pas à son premier méfait, il est officiellement découvert en Juin 2018 et est, alors, qualifié de trojan bancaire puisqu'il sévit essentiellement dans ce domaine de prédilection, en volant les fonds disponibles sur un compte bancaire, le tout via une attaque de type command-and-control (C&C), depuis des applications mobiles Google Play Store (Android). Il pouvait s'agir d'une application bancaire officielle (type Crédit Agricole, par exemple) ou bien une application utilitaire lié au domaine bancaire (gestion budgétaire, boursicotage...).

Août 2018, Sophos épingle, également, ce malware qui sévit à nouveau et toujours avec le même modus operandi : après avoir installé l'application, l'utilisateur n'y voit que du feu (puisqu'il n'y a potentiellement rien à bloquer ou accepter...) puisque l'application est, en fait, un outil (downloader) qui permettra, à l'individu malveillant ou groupuscule du genre, d'aspirer tout les fonds monétaires sur votre compte en banque mais, aussi, sur Amazon, Paypal ou encore eBay...

 

(Source : Sophos)

 

Dans un billet publié au 1er Mai dernier, Sophos persiste et signale toujours le danger de ce "Bank Bot" qui, à l'époque, demandait l'autorisation (menu "Accessibilité") d'activer le fameux "Google Protect". Ici, seul change le nom : il s'agit d'une demande d'activation de l'"Active Secure Service". Sophos précise que l'utilisateur sera fatalement forcé de l'activer, puisque tant que l'option n'est pas sur "on", en fait, le système vérolé lui propose de manière redondante la même section ("Accessibilité").

Avec le temps, les mœurs évoluant, le malware s'est apparemment, lui aussi, adapté en s'insinuant, d'une part, au sein de Telegram (toujours via une attaque type C&C) alors que les messages de la Webmessagerie sont censés être cryptés (end-to-end : chiffrement de bout-en-bout), permettant ainsi d'injecter un code malveillant avec des comptes frauduleux. Si certains comptes ont été supprimés, Sophos souligne que l'un des avantages de Telegram réside dans le fait de pouvoir créer rapidement et facilement de nouveaux profils pour injecter à nouveau du code malveillant. Twitter, d'autre part, n'échappe pas au malware qui, tout comme Telegram, contient des messages à base de caractères Chinois (base64) afin de crypter tout message de la sorte et, en théorie, ajouter une difficulté supplémentaire pour détecter la supercherie.

 

Source : Sophos - 1er Mai 2019 - Anubis : le malware de retour sur le Google Play Store (variante Telegram et Twitter).