ErrorFather : le trojan indétectable ciblant les applis bancaires Android
Un nouveau Trojan ciblant les applications bancaires Android, nommé ErrorFather, a récemment été découvert par les chercheurs de Cyble. Il s’agit d’une version modifiée de Cerberus, un Trojan bancaire apparu en 2019, avec des capacités d’infiltration avancées. ErrorFather utilise des techniques telles que le contrôle à distance des appareils, le keylogging (capture des caractères tapés) et les attaques par superposition (sites Web malveillants déguisés en application légitime).
Multiplier les étapes pour mieux se cacher
ErrorFather a recours à une approche en plusieurs étapes pour augmenter son efficacité et éviter la détection. Le Trojan utilise un dropper APK principal qui contient en son sein un deuxième APK de deuxième étage nommé “final-signed.apk”. Ce dernier est stocké dans Assets, une bibliothèque native Android, rendant sa détection difficile en tant que logiciel malveillant.
Une fois installé sur l’appareil, le dropper de deuxième étage ne met pas directement en œuvre le fichier manifeste demandant des autorisations et des services dangereux, renforçant ainsi l’indétection du Trojan. La structure complexe du Trojan rend sa détection difficile, voire impossible, par les moteurs antivirus actuels.
Les actions malveillantes du Trojan une fois installé
Après l’installation de “final-signed.apk” et l’exécution réussie de la charge finale, ErrorFather communique avec un bot Telegram. Ce bot reçoit des informations sur le modèle, la marque et la version de l’API de l’appareil. Il initie ensuite des processus malveillants tels que le keylogging, les attaques par superposition, le contrôle à distance et la collecte d’informations personnellement identifiables.
Les attaques par superposition fonctionnent de la même manière que le Trojan bancaire Cerberus original. Elles ciblent les applications bancaires pour voler vos identifiants. En outre, le Trojan tentera également de voler vos informations de carte de crédit. Afin de vous protéger contre de telles attaques, il est recommandé d’installer des applications uniquement depuis le Play Store, d’activer l’authentification à deux facteurs sur vos comptes bancaires et autres comptes sensibles, et de rester vigilant face aux liens reçus par SMS ou applications de messagerie. En outre, évitez d’accorder des permissions sensibles aux applications inconnues et maintenez votre appareil et vos applications à jour.
Source : www.androidheadlines.com
