Un nouveau Trojan sous Android détecté

VIRUS

Le malware Android.Clipper sur Android

En août 2018, les analystes d’un de nos partenaires antivirus Dr.Web (Doctor Web) viennent de découvrir un programme malveillant doté de fonctionnalités similaires à des systèmes d’arnaques à la cryptomonnaie sur Windows, mais conçu pour la plate-forme mobile Android.

Ce nouveau programme malveillant !

Des logiciels malveillants très répandus sous Windows ont eu pour action de remplacer automatiquement l’adresse du portefeuille électronique lors d’une transaction impliquant la monnaie numérique ou cryptomonnaie. Au cours des deux dernières années, les utilisateurs de monnaies virtuelles et les experts en sécurité informatique se sont familiarisés avec ces virus de type cheval de Troie. Mais c’est la première fois que ce cheval de Troie est développé pour Android et doté de fonctions similaires.

Ce Trojan pour système Android s’appelle « Clipper ». Il est capable de remplacer l’adresse du portefeuille électronique pour envoyer des fonds aux cybercriminels au lieu du propriétaire du portefeuille.

Les analystes de Dr.Web ont déclaré que deux variantes avaient été ajoutées à leur base de données virale: Android.Clipper.1.origin et Android.Clipper.2.origin. Ces deux programmes malveillants représentent une menace sérieuse pour les utilisateurs d’Android, en particulier pour les investisseurs en cryptomonnaie.

 

Le cheval de Troie Clipper peut remplacer QIWI, WebMoney (R et Z) et l’adresse e-portefeuille de Yandex. De plus, Clipper peut remplacer les adresses de portefeuilles de cryptomonnaie tels que Bitcoin, Monero, Zcash, DOGE, Dash, Etherium, Blackcoin et Litecoin. L’application fournie avec le cheval de Troie est déguisée en une application de portefeuille numérique Bitcoin.

 

Comment fonctionne-t-il ?

Lorsque Android.Clipper.1.origin est lancé pour la première fois, il rend son activité principale inaccessible en modifiant les paramètres d’accès. Par conséquent, l’icône de l’application malveillante disparaît de la liste des programmes sur l’écran d’Android.

Dans l’interface OnPrimaryClipChangedListener, le malware ajoute ensuite un écouteur qui suit les modifications du contenu du presse-papier et attend qu’un utilisateur copie un numéro de l’un des portefeuilles numériques ciblés.

Une fois le numéro correspondant récupéré, Android.Clipper.1.origin envoie les informations au serveur de commande et de contrôle. Le malware se reconnecte ensuite au serveur et attend le numéro de portefeuille du cybercriminel appartenant au même système de paiement que le numéro intercepté.

 

Ce nouveau type de virus sur Android montre que le système de Google n’est pas à l’abri des malwares. L’an dernier déjà, des ransomwares avaient fait leur apparition sur Android. En effet, un système capable d’intercepter communications, sms, carnets d’adresses, emails et navigations web est logiquement fort intéressant pour les pirates…

 

Pour information ou rappel, la solution française Altospam intègre 6 antivirus, dont Dr.Web. Ce qui signifie que tous les emails et leurs pièces jointes transitant par Altospam seront systématiquement et successivement analysés par ces 6 antivirus. De plus, étant donné qu’Altospam est situé en amont du serveur de messagerie, si vous consultez vos emails sur Android, vous serez protégé de ce type de virus Trojan.

Et si vous testiez les solutions d’Altospam?

Des milliers de DSI, RSSI et Responsables Informatiques nous font déjà confiance pour la protection de leur e-mails contre le phishing, spear phishing, ransomware, …