Android ; le malware Sova peut désormais diffuser des ransomwares
Apparu pour la première en septembre dernier, le malware Sova est de retour. Ses nouvelles fonctionnalités le rendent plus puissant et plus dangereux encore. Notamment, il est désormais capable de diffuser des ransomwares.
Du vol d’identifiants au ransomware
Lorsque le malware bancaire Sova, destiné aux appareils Android, est apparu pour la première fois en septembre dernier sur les marketplaces clandestines, ses développeurs indiquaient qu’il était encore en cours de développement.
Cela ne le rendait pas moins redoutable, puisqu’il permettait de collecter des noms d’utilisateur et des mots de passe par keylogging, de voler des cookies et d’ajouter de fausses superpositions à toute une série d’applications.
Mais ce n’est pas fini. Sova a récemment été mis à jour et dispose de nouvelles capacités, selon les chercheurs en cybersécurité de la société de prévention de la fraude en ligne Cleafy. Il peut désormais imiter plus de 200 applications bancaires et de paiement et cibler les portefeuilles de cryptomonnaies.
Le malware peut également désormais chiffrer des appareils avec un ransomware, bien que cette fonctionnalité semble encore en cours d’implémentation.
Triple peine
« La fonctionnalité de ransomware est intéressante, car elle n’est pas courante dans le paysage des trojans bancaires sur Android. Elle tire parti des opportunités qui se sont développées ces dernières années, les appareils mobiles devenant pour la plupart des utilisateurs le point central de stockage des données personnelles et professionnelles », expliquent les chercheurs de Cleafy.
Aujourd’hui, les victimes de ce cheval de Troie risquent donc non seulement de se faire voler secrètement des informations sensibles – coordonnées bancaires, mots de passe et autres – mais aussi de perdre l’accès à leurs fichiers à cause d’un ransomware – qui conditionnera le déchiffrement des données au paiement d’une rançon.
La dernière mise à jour du logiciel malveillant permet également aux attaquants de faire des captures d’écran de l’appareil, et même d’enregistrer de l’audio depuis le smartphone infecté.
Contourner l’authentification multifactorielle
Parmi les autres nouveautés ajoutées à Sova ces derniers mois, il y a aussi la possibilité d’intercepter les jetons utilisés par l’authentification multifactorielle (MFA). Ainsi, les attaquants peuvent voler des données même si le compte est protégé par cette couche de sécurité supplémentaire.
Les chercheurs préviennent également que même si le malware est toujours en développement actif, « il est prêt à mener des activités frauduleuses à grande échelle ».
Comme de nombreuses autres formes de logiciels malveillants présents sur Android, Sova est diffusé via de fausses applications prétendant être des services de grandes entités connues comme Google et Amazon. Mais la fausse application est en fait une “coquille vide” contenant uniquement le malware.
Comment s’en protéger ?
Pour éviter d’être victime de ce type de malware sur mobile, il faut faire attention aux applications téléchargées et à leur provenance. Les magasins d’applications officiels (App Store, Play Store) sont plus fiables que les sites de téléchargement tiers, mais même dans ce cas, il faut se méfier et vérifier le contenu proposé.
Par exemple, si une application prétend provenir d’un développeur connu, mais est enregistrée comme ayant été développée par quelqu’un d’autre, il faut éviter de la télécharger.
Les magasins d’applications officiels proposent également de laisser un avis sur une application, et de consulter les avis des autres. Si vous avez un doute, lisez ces évaluations. Une série de commentaires négatifs peut vous indiquer que vous faites fausse route.
Source : ZDNet.com
