Vos cryptomonnaies menacées par un nouveau malware Android ?

Nous connaissons déjà les tristement célèbres malwares qui font miner du Monero à l’insu des machines infectées. Mais voici désormais « StrandHogg », un nouveau malware qui se fait maître de votre téléphone portable et de ses applications… pour venir vous voler vos données bancaires, et pourquoi pas bien plus.

Un malware qui ouvre toutes les portes de votre smartphone

Le 2 décembre, une société norvégienne de cybersécurité, appelée Promon, a publié ses recherches sur un nouveau malware très dangereux surnommé StrandHogg.

Ce malware peut agir grâce à une vulnérabilité qui affecte les smartphones sous Androidy compris ceux sous la version 10, pourtant la dernière en date – selon les chercheurs de Promon. Ce malware permet de récupérer des données privées en infectant des applications légitimes. Jusqu’à 500 applications, parmi les plus populaires, présentent la vulnérabilité qui entraîne ce risque d’être contaminées par le malware StrandHogg.

« Nous avons la preuve tangible que les attaquants exploitent StrandHogg pour voler des informations confidentielles. L’impact potentiel pourrait être sans précédent en termes d’échelle et d’ampleur des dommages causés car la plupart des applications sont vulnérables par défaut et toutes les versions d’Android sont affectées », Tom Lysemose, CTO de Promon

Une menace silencieuse inquiétante, mais maîtrisée selon Google ?

Comme le représente le schéma ci-dessous StrandHogg s’invite d’abord avec n’importe quelle autre application infectée qui est téléchargée par la victime. Il fait croire à cette dernière qu’elle utilise une application légitime.

Sauf qu’en réalité c’est d’abord une version malveillante, de phishing, qui se lance une fois cliquée. Une fausse version qui non seulement va récupérer les informations de connexion de l’application d’origine, mais qui en plus va demander des autorisations (comme l’accès SMS) que l’on croit donner à l’application en question, mais qui vont en fait servir à transmettre les données volées de votre téléphone vers les hackers (voir ci-dessous). Ensuite, la victime est renvoyée vers l’application d’origine, pour ne pas éveiller les soupçons.

Processus d’infection et de piratage par StrandHogg – Source : Promon

En plus du piratage de données et d’autorisations donnant accès à des applications financières, le malware peut aussi potentiellement écouter l’utilisateur à travers son microphone, et accéder à toutes ses photos/vidéos et fichiers sur l’appareil, entre autres joyeusetés. Une véritable boîte de Pandore

Les informations sur StrandHogg ont été transmises par Promon à Google dès sa découverte durant l’été dernier. Google a annoncé avoir supprimé les applications concernées de son Play Store, mais il ne semble pas que la vulnérabilité d’origine ait été corrigée selon les chercheurs en cybersécurité.

« (…) nous avons suspendu les applications potentiellement nuisibles qu’ils [Promon] ont identifiées. Google Play Protect détecte et bloque les applications malveillantes, y compris celles qui utilisent cette technique. De plus, nous continuons d’enquêter afin d’améliorer la capacité de Google Play Protect à protéger les utilisateurs contre des problèmes similaires », porte-parole de Google

Ce malware StrandHogg est encore une fois l’occasion de rappeler qu’il faut regarder de près les autorisations que demandent les applications que vous téléchargez. 

Rémy R.

Issu d’une formation universitaire en Sciences, je m’intéresse aux blockchains et à Bitcoin depuis 2013 et en ai même miné à l’époque. La bulle qui s'en est suivie m'en a détourné, mais je m'y suis replongé depuis 2017 et les étudie depuis avec passion.