Des hackers Android ciblent 400 applications bancaires, de trading et de crypto dans une offensive mondiale visant à vider les comptes : selon des chercheurs en cybersécurité

Les hackers ciblent désormais plus de 400 applications financières dans le monde entier, déployant une nouvelle souche de malware Android dans le but de vider les comptes.

Le malware, nommé Albiriox, est un cheval de Troie d'accès à distance (RAT) hautement sophistiqué conçu pour prendre le contrôle total d'un appareil infecté, permettant aux attaquants d'accéder directement et de manipuler les sessions bancaires ou crypto légitimes d'un utilisateur, selon une nouvelle analyse de la société de cybersécurité Cleafy.

Cleafy indique que les cibles d'Albiriox couvrent un large éventail de plateformes financières, y compris les banques traditionnelles, les applications fintech, les processeurs de paiement, les exchanges crypto, les portefeuilles mobiles et les plateformes de trading. Cette large portée signale un effort délibéré pour compromettre à la fois les utilisateurs financiers traditionnels et ceux détenant des actifs numériques.

Le malware se propage via de fausses applications qui prétendent être réelles, comme une fausse application “Penny Market” provenant de fausses pages Google Play, auxquelles les utilisateurs accèdent via des liens SMS et doivent accorder des autorisations d'installation avant que le virus ne soit déployé.

Ce qui rend Albiriox particulièrement dangereux, c'est son alignement avec la fraude sur l'appareil (On-Device Fraud, ODF), une catégorie de malware mobile en pleine expansion qui opère à l'intérieur de la session authentifiée de la victime. Cleafy rapporte que le cheval de Troie utilise une combinaison de contrôle à distance basé sur VNC, d'abus du service d'accessibilité, de superpositions d'écran ciblées et de collecte dynamique d'identifiants.

Ensemble, ces capacités permettent aux attaquants de contourner les vérifications biométriques, l'authentification à deux facteurs et d'autres dispositifs de détection de fraude en se comportant comme l'utilisateur légitime.

Une fois que le malware obtient les autorisations d'accessibilité, les attaquants peuvent naviguer sur l'appareil en temps réel, initier des transferts, vider les portefeuilles crypto ou approuver des transactions à haut risque sans déclencher les alertes de sécurité habituelles. Comme l'activité provient du propre appareil de la victime, les banques et les exchanges peuvent avoir du mal à détecter la fraude avant que les fonds ne soient volés.

Cleafy conclut qu'Albiriox représente un changement significatif dans la cybercriminalité mobile, les acteurs de la menace donnant de plus en plus la priorité aux malwares axés sur l'ODF capables de compromettre de manière persistante l'ensemble de l'appareil.

À l'avenir, les chercheurs avertissent que le secteur financier, et en particulier les utilisateurs de crypto, doivent s'attendre à davantage d'attaques reposant sur le détournement de session en temps réel plutôt que sur le phishing traditionnel ou le vol d'identifiants.

Generated Image: Midjourney