Récemment, le malware pour mobile Redxy, qui associe un cheval de Troie bancaire à un bloqueur de ransomware, a étendu ses tentacules.
En août et septembre, nos experts ont enregistré plus de 40,000 tentatives de migration de cette application malveillante vers les smartphones Android.
Nous souhaitons dans cet article examiner plus en détail les sources d’infection et expliquer comment il est possible de supprimer le logiciel malveillant en quelques SMS seulement.
Voici comment fonctionne le cheval de Troie bancaire Redxy.
Redxy se propage via des messages SMS contenant le lien vers un téléchargement d’application accompagné d’un texte tentant invitant les utilisateurs à ouvrir le lien et à télécharger une application. Dans certains cas, ces messages proviennent du numéro de téléphone portable d’un ami ou d’un bon ami; et pour cette raison même, de nombreux utilisateurs cliquent sur les liens malveillants sans crainte.
Une fois que le cheval de Troie a infecté un appareil
Il est méticuleusement engagé dans la préparation de son travail en vue d’une action ultérieure. En premier lieu, Redxy vérifie quel appareil ou il a atterri. Il fait cela pour gêner le travail des chercheurs potentiels en antivirus: si le malware détecte qu’il s’exécute dans un émulateur plutôt que sur un véritable smartphone, il lance un balayage sans fin du processus d’initialisation de l’application. Dans la version actuelle de Redxy, la même chose semble se produire si l’appareil infecté se trouve en dehors des frontières russes.
Le cheval de Troie commence à agir uniquement lorsque le périphérique répond à ces exigences de base.
Tout d’abord en demandant des droits d’administrateur. Théoriquement, l’utilisateur peut refuser l’engagement, mais la demande continuera à s’afficher, rendant l’utilisation du smartphone encore plus difficile. Dès que Redxy obtient ce qu’elle veut, le malware indique que l’application n’a pas pu être chargée et cache son icône.
Le logiciel malveillant contacte ensuite ses propriétaires
Il leur fournit les informations nécessaires sur l’appareil. Ceux-ci répondent à leur tour avec les instructions, une série de modèles, et de textes. Par défaut, Redxy communique directement avec le serveur C & C, mais ses développeurs ont également implémenté d’autres moyens d’envoyer des commandes via Google Cloud Messaging et SMS.
Redxy : Voleur de SMS
Dès qu’un message arrive sur un appareil infecté, le logiciel malveillant met le smartphone en veille prolongée afin que la victime ne remarque aucun des nouveaux messages texte entrants. Le cheval de Troie intercepte le message, le compare aux modèles reçus du serveur C & C, puis le transfère au serveur si le message contient des informations à sa convenance (par exemple, les derniers chiffres d’un numéro de carte de crédit dans un SMS). notification).
En outre, le logiciel malveillant peut répondre à de tels messages de la part du propriétaire du smartphone. parce que dans leurs modèles fournis sont déjà préparés des modules de texte de réponse pour les urgences.
Si, pour une raison quelconque, aucun modèle ni aucune instruction spéciale n’a été reçu du serveur C & C, Redxy enregistrera toute la correspondance provenant du smartphone infecté et la transmettra à ses instructeurs.
En outre, le logiciel malveillant peut envoyer un lien de téléchargement à tous les contacts de l’annuaire sous les ordres de cybercriminels. C’est l’un des principaux facteurs de distribution du cheval de Troie Redxy.
Le trojan bancaire Redxy
Cependant, la manipulation des messages SMS n’est pas le seul et non le plus important atout dans la manche du malware. L’objectif principal des développeurs est de gagner rapidement beaucoup d’argent, et cela fonctionne mieux par le vol de données de cartes bancaires.
Pour ce faire, le cheval de Troie recouvre l’écran de la victime avec une page de phishing. L’apparence de la page peut varier, mais l’objectif général est d’indiquer au propriétaire du smartphone qu’il existe un transfert d’argent qui ne peut être obtenu qu’en saisissant les données de sa carte.
Pour plus de sécurité, les développeurs de logiciels malveillants ont intégré une fonctionnalité permettant de vérifier l’authenticité du numéro de carte. Tout d’abord, il vérifie si le numéro de carte est correct (les chiffres d’un numéro de carte ne sont pas choisis au hasard, mais créés après certaines règles).
Par la suite, Redxy extrait les quatre derniers chiffres du numéro de carte du SMS bancaire intercepté et les compare à ceux entrés sur la page de phishing. Si quelque chose ne va pas à ce stade, le logiciel malveillant répond par un message d’erreur et invite l’utilisateur à entrer le numéro de carte correct.
Ransomware Redxy
Dans certains cas, Redxy reçoit d’autres instructions du serveur C & C et interprète un scénario complètement différent. Au lieu d’afficher une page d’hameçonnage, Redxy bloque l’écran du smartphone avec un message d’avertissement qui appelle une amende pour « regarder régulièrement des vidéos interdites ».
Redxy imite l’installation de la mise à jour, puis bloque l’écran du smartphone avec une amende pour « regarder régulièrement des vidéos interdites ».
La « preuve » photographique est jointe sous la forme d’une image d’un clip pornographique. Comme c’est souvent le cas avec les ransomwares mobiles, les cybercriminels prétendent appartenir à n’importe quel organisme officiel.
