Un cheval de Troie bancaire Android récemment découvert, appelé BlankBot, représente une menace importante pour les utilisateurs d'Android 13 ou plus récent, ont averti des chercheurs en sécurité. Le malware est capable de capturer des informations sensibles telles que des messages SMS, des informations bancaires et même le schéma de verrouillage ou le code PIN de l'appareil. Plus inquiétant encore, BlankBot est largement indétectable par la plupart des logiciels antivirus.
Découverte et capacités
Les chercheurs de la société de renseignement Intel 471 ont identifié BlankBot pour la première fois le 24 juillet, les premières attaques ciblant principalement les utilisateurs turcs. Bien que BlankBot soit encore en cours de développement, il dispose déjà d'une gamme de fonctionnalités malveillantes. Il s'agit notamment d'injections de clients, d'enregistrement de frappe, d'enregistrement d'écran et de communication avec un serveur de contrôle via une connexion WebSocket.
Distribution et tactiques furtives
BlankBot est actuellement distribué sous la forme de diverses applications utilitaires pour appareils Android. Lors de son installation, le malware invite les utilisateurs à accorder des autorisations d'accessibilité sous prétexte qu'elles sont nécessaires au bon fonctionnement de l'application. Cependant, une fois ces autorisations accordées, l'icône de l'application disparaît et un écran vide indiquant qu'une mise à jour est en cours apparaît, conseillant aux utilisateurs de ne rien toucher. Cette ruse permet au malware d'obtenir les autorisations nécessaires en arrière-plan et de se connecter à son serveur de contrôle malveillant.
Le cheval de Troie est particulièrement dangereux pour les appareils fonctionnant sous Android 13 ou une version plus récente. Il utilise un programme d'installation de package basé sur une session pour contourner la fonctionnalité de paramètres restreints introduite dans ces versions, demandant aux utilisateurs d'autoriser l'installation de sources tierces pour continuer la fausse mise à jour. BlankBot assure également sa persistance en empêchant les utilisateurs d'accéder aux paramètres ou de supprimer le malware.
Stratégies d’atténuation
Bien que BlankBot soit nouveau et en cours de développement, les utilisateurs peuvent prendre des mesures pour se protéger. L'étape la plus cruciale consiste à télécharger uniquement des applications à partir de boutiques d'applications officielles comme Google Play et à éviter de télécharger des applications provenant de sources inconnues. Les utilisateurs doivent également être prudents quant aux autorisations qu'ils accordent, en particulier les autorisations d'accessibilité, qui peuvent donner à une application un contrôle total sur l'appareil. Il est essentiel de se demander pourquoi une application peut avoir besoin de telles autorisations et d'envisager des alternatives provenant de sources fiables qui ne nécessitent pas d'autorisations risquées.
Réponse de Google
En réponse à la menace BlankBot, un porte-parole de Google a déclaré : « D’après nos détections actuelles, aucune application contenant ce malware n’a été trouvée sur Google Play. Les utilisateurs d’Android sont automatiquement protégés contre les versions connues de ce malware par Google Play Protect, qui est activé par défaut sur les appareils Android équipés des services Google Play. Google Play Protect avertit les utilisateurs et bloque les applications qui contiennent ce malware, même lorsque ces applications proviennent de sources extérieures à Google Play. »
En suivant ces mesures de sécurité et en restant vigilants, les utilisateurs d’Android peuvent réduire considérablement le risque d’être victime de BlankBot et de menaces similaires.