Android : ce dangereux malware cible les applications bancaires de milliards d’utilisateurs

Une société qui propose des solutions contre la fraude en ligne et les malwares a découvert un botnet très puissant nommé Nexus. Celui-ci a accès à plusieurs centaines d'applications Android de banque en ligne. 

 

La société de cybersécurité Cleafy a révélé l'existence d'un nouveau malware sur Android nommé Nexus. Ce dernier est mis à la disposition des hackers fréquentant un forum spécialisé, contre un paiement mensuel. Toujours plus de concepteurs de virus utilisent ce modèle tarifaire, qui permet aux clients d’exploiter un botnet et de déployer des campagnes de façon temporaire sans avoir besoin d’une grande expertise.

À lire — Le terrible malware Emotet est de retour dans votre boîte mail, méfiez-vous des fichiers joints

Nexus est un « Malware-as-a-Service », un malware par abonnement, qui n’est pas abordable au commun des bidouilleurs. Même s’il n’est encore qu’en version bêta, ses concepteurs demandent la bagatelle de 3000 $ par mois aux hackers pour pouvoir l’utiliser. Pour ce prix-là, Cleafy affirme que le malware offre l’accès à 450 applications financières ou bancaires différentes sur Android.

Nexus est un nouveau type de malware que les hackers louent 3000 $ par mois

Le programme peut voler les SMS pour obtenir le code de la vérification en deux étapes, les codes d’application d’authentification de Google, des informations provenant des portefeuilles de cryptos, mais aussi les cookies des sites visités. Autant d’informations qui permettront de prendre le contrôle des comptes bancaires de leurs victimes. Les données de plusieurs milliards d’utilisateurs de smartphones sont en danger.

À lire — Cybersécurité : la France est le 5e pays le plus visé par les attaques par ransomwares

Qui sont les auteurs de ce malware et d’où viennent-ils ? Les auteurs de l’article ne s’avancent pas à tracer son origine exacte, mais ils notent tout de même que l’utilisation de Nexus est liée à une clause interdisant de l’utiliser en Russie ou dans les anciennes républiques soviétiques. Par ailleurs, ils notent ce virus est encore en phase de développement, et qu'il « emprunte » du code provenant d’un autre malware nommé SOVA que l'on retrouve dans d'autres botnets. Le pire est donc encore à venir. Cleafy précise : « à l’heure où nous écrivons ces lignes, l’absence de module VNC limite le champ d’action et les capacités de Nexus […] c’est cependant une menace réelle capable d’infecter des centaines d’appareils dans le monde entier ».