Android a beaucoup évolué, apportant aux appareils mobiles certaines des protections les plus avancées. Toutefois, ce système d’exploitation n’est pas le seul à évoluer : les menaces et attaques qui le ciblent font de même. Une nouvelle variante de malware fait la une des journaux parce qu’elle est plus difficile à détecter, et des millions d’utilisateurs sont désormais avertis.

ThreatFabric, une équipe néerlandaise de renseignement sur les menaces mobiles, alerte les utilisateurs d’Android au sujet d’un nouveau logiciel malveillant appelé Herodotus, qui a récemment été annoncé par des acteurs malveillants sur des plates-formes et des canaux clandestins.

Herodotus emprunterait des éléments au célèbre malware bancaire Brokewell, connu pour voler des informations d’identification et espionner les utilisateurs. Brokewell a déjà été utilisé dans des campagnes en Italie et au Brésil.

Des logiciels malveillants qui agissent comme des humains

Ce qui rend Herodotus particulièrement dangereux, c’est sa capacité à imiter le comportement de frappe des êtres humains. Selon ThreatFabric, il introduit des délais allant de 0,3 à 3 secondes entre les actions pendant la frappe, contrairement aux schémas prévisibles des logiciels malveillants automatisés. Ce comportement imputable à l’Homme rend plus difficile la détection du virus par les outils de sécurité sur les appareils et les logiciels, ce qui permet au logiciel malveillant de conserver un accès prolongé aux appareils compromis.

Comme d’autres logiciels espions avancés, les attaquants incitent généralement les victimes à installer le logiciel malveillant par le biais de liens d’hameçonnage envoyés par SMS ou de chats de groupe sur des plateformes comme Telegram.

Une fois installée, l’application invite les utilisateurs à accorder l’accès en modifiant les paramètres sur la page d’accessibilité. À partir de là, le malware prend le contrôle total de l’appareil et commence à espionner l’activité effectuée à l’écran, en enregistrant des informations sensibles telles que les mots de passe, les codes PIN de sécurité et les clés cryptographiques utilisées dans les applications financières et de crypto-monnaie. Une fois compromis, les attaquants peuvent utiliser ces données pour siphonner les comptes bancaires.

ThreatFabric a également révélé que les attaquants auraient mis en place des sites de test malveillants avec de faux écrans de connexion dans des pays tels que la Pologne, la Turquie, le Royaume-Uni et les États-Unis. Ces sites récoltent les identifiants de l’utilisateur directement à l’entrée, et il semblerait que le développeur d’Herodotus soit en train d’affiner le logiciel malveillant. Les futures campagnes d’attaques devraient donc gagner en complexité.

Comment protéger votre appareil Android

Bien qu’il n’y ait pas de campagnes confirmées utilisant activement Herodotus pour le moment, il est conseillé aux utilisateurs d’Android de prendre des précautions pour protéger leurs appareils et leurs données.

L’une des mesures les plus efficaces consiste à faire attention à ce sur quoi vous cliquez. Évitez d’installer des applications tierces, même si elles semblent légitimes. Contentez-vous de télécharger des applications à partir du Google Play Store et vérifiez toujours que l’éditeur est digne de confiance.

Il est également important de mettre à jour vos applications et votre système d’exploitation. En cas de menaces actives, les outils de protection avancée des appareils d’Android devraient être activés pour une sécurité accrue.

Quels autres conseils recommanderiez-vous pour réduire le risque de ces attaques ? Nous serions ravis de recevoir vos suggestions.