{"id":204532,"date":"2022-06-16T02:07:03","date_gmt":"2022-06-16T04:07:03","guid":{"rendered":"https:\/\/teknomers.com\/fr\/malibot-un-nouveau-cheval-de-troie-bancaire-android-repere-dans-la-nature\/"},"modified":"2022-06-16T02:07:04","modified_gmt":"2022-06-16T04:07:04","slug":"malibot-un-nouveau-cheval-de-troie-bancaire-android-repere-dans-la-nature","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/malibot-un-nouveau-cheval-de-troie-bancaire-android-repere-dans-la-nature\/","title":{"rendered":"MaliBot\u00a0: un nouveau cheval de Troie bancaire Android rep\u00e9r\u00e9 dans la nature"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Une nouvelle souche de malware Android a \u00e9t\u00e9 rep\u00e9r\u00e9e dans la nature ciblant les clients des banques en ligne et des portefeuilles de crypto-monnaie en Espagne et en Italie, quelques semaines seulement apr\u00e8s qu&#8217;une op\u00e9ration coordonn\u00e9e d&#8217;application de la loi a d\u00e9mantel\u00e9 FluBot.<\/p>\n<p>Le cheval de Troie voleur d&#8217;informations, dont le nom de code <strong>MaliBot<\/strong> par F5 Labs, est aussi riche en fonctionnalit\u00e9s que ses homologues, lui permettant de voler des informations d&#8217;identification et des cookies, de contourner les codes d&#8217;authentification multifacteur (MFA) et d&#8217;abuser du service d&#8217;accessibilit\u00e9 d&#8217;Android pour surveiller l&#8217;\u00e9cran de l&#8217;appareil de la victime.<\/p>\n<p>MaliBot est connu pour se d\u00e9guiser principalement en applications d&#8217;extraction de crypto-monnaie telles que Mining X ou The CryptoApp qui sont distribu\u00e9es via des sites Web frauduleux con\u00e7us pour inciter les visiteurs potentiels \u00e0 les t\u00e9l\u00e9charger.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/backup-bitbucket\" target=\"_blank\" title=\"DevOps backupy\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/Microsoft-met-en-garde-contre-les-ecumeurs-Web-imitant-Google.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Il tire \u00e9galement une autre feuille du livre de jeu du cheval de Troie bancaire mobile en ce sens qu&#8217;il utilise le smishing comme vecteur de distribution pour faire prolif\u00e9rer le malware en acc\u00e9dant aux contacts d&#8217;un smartphone infect\u00e9 et en envoyant des messages SMS contenant des liens vers le malware.<\/p>\n<p>&#8220;Le command-and-control (C2) de MaliBot est en Russie et semble utiliser les m\u00eames serveurs qui ont \u00e9t\u00e9 utilis\u00e9s pour distribuer le <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.sality\" target=\"_blank\">Logiciel malveillant Sality<\/a>&#8220;, Dor Nizar, chercheur au F5 Labs <a rel=\"nofollow noopener\" href=\"https:\/\/www.f5.com\/labs\/articles\/threat-intelligence\/f5-labs-investigates-malibot\" target=\"_blank\">a dit<\/a>.  &#8220;Il s&#8217;agit d&#8217;une refonte fortement modifi\u00e9e du logiciel malveillant SOVA, avec des fonctionnalit\u00e9s, des cibles, des serveurs C2, des domaines et des sch\u00e9mas de conditionnement diff\u00e9rents.&#8221;<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Cheval de Troie bancaire Android\" border=\"0\" data-original-height=\"456\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/06\/1655352422_585_MaliBot-un-nouveau-cheval-de-Troie-bancaire-Android-repere-dans.jpg\" title=\"Cheval de Troie bancaire Android\" \/><\/div>\n<p>SOVA (qui signifie &#8220;hibou&#8221; en russe), qui a \u00e9t\u00e9 d\u00e9tect\u00e9 pour la premi\u00e8re fois en ao\u00fbt 2021, se distingue par sa capacit\u00e9 \u00e0 mener des attaques par superposition, qui fonctionnent en affichant une page frauduleuse \u00e0 l&#8217;aide de WebView avec un lien fourni par le serveur C2 si une victime ouvre un application bancaire incluse dans sa liste de cibles actives.<\/p>\n<p>Certaines des banques cibl\u00e9es par MaliBot utilisant cette approche incluent UniCredit, Santander, CaixaBank et CartaBCC.<\/p>\n<p>Le service d&#8217;accessibilit\u00e9 est un service d&#8217;arri\u00e8re-plan ex\u00e9cut\u00e9 sur les appareils Android pour aider les utilisateurs handicap\u00e9s.  Il a longtemps \u00e9t\u00e9 exploit\u00e9 par les logiciels espions et les chevaux de Troie pour capturer le contenu de l&#8217;appareil et intercepter les informations d&#8217;identification saisies par des utilisateurs sans m\u00e9fiance sur d&#8217;autres applications.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>En plus de pouvoir siphonner les mots de passe et les cookies du compte Google de la victime, le malware est con\u00e7u pour balayer les codes 2FA de l&#8217;application Google Authenticator ainsi que pour exfiltrer des informations sensibles telles que les soldes totaux et les phrases de d\u00e9part des applications Binance et Trust Wallet.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Cheval de Troie bancaire Android\" border=\"0\" data-original-height=\"328\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/06\/1655352423_41_MaliBot-un-nouveau-cheval-de-Troie-bancaire-Android-repere-dans.jpg\" title=\"Cheval de Troie bancaire Android\" \/><\/div>\n<p>De plus, Malibot est capable de militariser son acc\u00e8s \u00e0 l&#8217;API d&#8217;accessibilit\u00e9 pour vaincre les m\u00e9thodes d&#8217;authentification \u00e0 deux facteurs (2FA) de Google, telles que <a rel=\"nofollow noopener\" href=\"https:\/\/support.google.com\/accounts\/answer\/7026266\" target=\"_blank\">Invites Google<\/a>m\u00eame dans les sc\u00e9narios o\u00f9 une tentative est faite pour se connecter aux comptes \u00e0 l&#8217;aide des informations d&#8217;identification vol\u00e9es \u00e0 partir d&#8217;un appareil jusque-l\u00e0 inconnu.<\/p>\n<p>&#8220;La polyvalence du logiciel malveillant et le contr\u00f4le qu&#8217;il donne aux attaquants sur l&#8217;appareil signifient qu&#8217;il pourrait, en principe, \u00eatre utilis\u00e9 pour un plus large \u00e9ventail d&#8217;attaques que le vol d&#8217;informations d&#8217;identification et de crypto-monnaie&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p>&#8220;En fait, toute application qui utilise WebView est susceptible de se faire voler les identifiants et les cookies des utilisateurs.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/06\/malibot-new-android-banking-trojan.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Une nouvelle souche de malware Android a \u00e9t\u00e9 rep\u00e9r\u00e9e dans la nature ciblant les clients des banques en ligne et des portefeuilles de crypto-monnaie en Espagne et en Italie, quelques semaines seulement apr\u00e8s qu&#8217;une op\u00e9ration coordonn\u00e9e d&#8217;application de la loi a d\u00e9mantel\u00e9 FluBot. Le cheval de Troie voleur d&#8217;informations, dont le nom de code MaliBot [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":204533,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[8738,173,7968,4168,4158,4165,4161,429,4157,4159,4171,4170,4167,78857,4160,5853,680,4163,4162,21044,4172,4169,8915,4166,4164],"class_list":["post-204532","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-android","tag-bancaire","tag-cheval","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-malibot","tag-mises-a-jour-de-la-cybersecurite","tag-nature","tag-nouveau","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-repere","tag-securite-informatique","tag-securite-internet","tag-troie","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/204532","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=204532"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/204532\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/204533"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=204532"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=204532"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=204532"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}