Le virus se propage via des applications non certifiées par Google.

Les chercheurs du Centre de défense contre le phishing Cofense ont découvert une nouvelle tentative de déploiement du cheval de Troie Anubis. Ce dangereux virus sévit depuis plusieurs années, siphonnant les données bancaires de ses victimes et vidant leurs comptes. Cette fois-ci, le virus se propage à l’aide d’applications non certifiées.

Dans les faits, les utilisateurs qui ont téléchargé les applications malveillantes reçoivent un mail qui les invite à payer une facture en pièce jointe. Une fois qu’ils ont téléchargé le document et qu’ils l’ouvrent, une fenêtre pop-up les invite à activer Google Play Protect, une protection contre les logiciels malveillants. En réalité, ils ne l’ont pas activée, mais désactivée. Enfin, lorsqu’ils ouvrent leur soi-disant facture, ils installent en réalité le fichier APK d’Anubis.

Crédit : Cofense

Le cheval de Troie va alors se déployer et passer au crible les applications installées sur le smartphone afin de repérer celles qu’il cible particulièrement. Évidemment, les apps qu’il vise sont des applications bancaires, mais aussi des apps de shopping telles qu’eBay ou Amazon. Quand il trouve une correspondance, Anubis superpose une fausse page de connexion afin de récupérer les données d’identification bancaires de ses victimes. Mais les capacités d’Anubis ne s’arrêtent pas là.

Véritable infection, le logiciel malveillant peut faire des captures d’écran, désactiver et modifier les paramètres d’administration, désactiver la protection intégrée contre les programmes malveillants de Google Play Protect, enregistrer de l’audio, passer des appels téléphoniques, envoyer des SMS, voler la liste de contact, verrouiller l’écran de l’appareil et tant d’autres possibilités malveillantes.

Les chercheurs indiquent également qu’Anubis peut se transformer en ransomware, bloquer l’ensemble des fichiers de ses victimes et exiger de l’argent pour leur rendre leurs accès.

« Les utilisateurs qui ont configuré leur appareil mobile Android pour recevoir des e-mails liés au travail et permettre l’installation d’applications non certifiées sont les plus à risque de compromis », indiquent les chercheurs. Ils conseillent d’installer uniquement les applications disponibles sur le Play Store qui ont passé les tests de sécurité de Google.