Ce nouveau malware utilise les mécanismes de protection de votre smartphone pour voler vos données bancaires

Un nouveau malware sur Android, nommé Snowblind, utilise une technique innovante pour contourner les protections de sécurité des applications. Avec cette technique extrêmement discrète, les pirates peuvent voler des données personnelles et bancaires sans être détectés.

Les cyberattaques visant les smartphones sont en constante augmentation. Selon un rapport de l'Agence nationale de la sécurité des systèmes d'information, les attaques contre les téléphones portables ont augmenté de 30 % en 2023. Parmi les nouvelles menaces, des malwares sophistiqués comme PixPirate sont devenus indétectables. Cette tendance inquiétante se poursuit avec l’apparition de Snowblind, un logiciel malveillant qui utilise une technique inédite.

Snowblind se distingue par son utilisation d’une fonctionnalité de sécurité intégrée dans le noyau Linux d’Android. Ce malware est plus exactement un cheval de Troie bancaire. Son but est de voler des données personnelles en abusant du mécanisme seccomp. Les chercheurs de Promon ont découvert que cette méthode permet à ce dernier de contourner les mesures de protection des applications pour rendre l’attaque pratiquement indétectable pour les utilisateurs.

Snowblind détourne les mesures de sécurité des smartphones Android pour voler des données

Présent depuis 2018 sur Android 8 Oreo, seccomp est conçu pour limiter les appels système qu'une application peut effectuer. Cela réduit ainsi les risques d’interactions malveillantes avec le système d’exploitation. Snowblind utilise cette fonctionnalité pour contourner les mesures de sécurité mises en place par Android pour empêcher les modifications non autorisées des applications.

En exploitant Secure Computing, ce malware modifie les applications et utilise les services d’accessibilité pour accéder aux données personnelles des utilisateurs. Ces services, conçus à l’origine pour aider les personnes malvoyantes, sont régulièrement détournés par des logiciels malveillants.

Le processus est complexe mais efficace. Snowblind injecte du code dans l’application cible avant que les mécanismes de sécurité ne soient activés. Ensuite, il configure un filtre seccomp pour manipuler ou surveiller les accès aux fichiers de l’application. Cette méthode permet aux cybercriminels de lire les informations sensibles affichées à l’écran, de contrôler les applications, et de contourner les mesures de sécurité en automatisant les interactions.

Selon les chercheurs de Promon, cette technique est encore méconnue et peu de développeurs ont mis en place des protections contre ce type d’attaque. Google affirme qu’aucune application infectée par ce logiciel malveillant n’a été trouvée sur le Play Store, mais la vigilance reste de mise. Il est donc crucial de faire attention à ce que l'on télécharge et d’éviter les sources non officielles.

Source : Promon