Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Yogi Chandiramani, Zscaler : Attention aux fausses versions de Super Mario Run sur Android !

janvier 2017 par Yogi Chandiramani, Solutions Architect Director EMEA pour Zscaler

Le jeu Super Mario Run de Nintendo est disponible depuis la fin de l’année 2016 sur les appareils Apple. Très rapidement, il a rencontré un véritable succès sur l’iTunes Store. Pour le moment, il n’existe pas de version Android et aucune date de sortie officielle n’a été annoncée. Profitant de l’impatience des utilisateurs et de la popularité du jeu, le malware se propage sous la forme d’une fausse application Android.

Une attaque similaire s’était déjà produite avec un autre jeu très populaire, Pokemon Go.
Le ThreatLabZ de Zscaler avait d’ailleurs publié un article sur le sujet. Une nouvelle fois, le trojan Android Marcher se déguise en application Super Mario Run et tente de piéger les utilisateurs avec de fausses pages de paiement de manière à récupérer leurs données bancaires.

Un peu d’histoire

Marcher est un malware sophistiqué qui cible une large variété d’applications bancaires et de paiement en ligne en se faisant passer pour de vraies pages Web.
Une fois que l’appareil mobile d’un utilisateur est infecté, le malware attend que la victime ouvre une fausse page Web demandant les informations bancaires. Les victimes, qui ne se doutent de rien, fournissent tous les détails demandés qui sont ensuite récupérés et transmis au serveur de commande et de contrôle (C&C) du malware.

Ce programme malveillant a régulièrement évolué et s’est positionné sur de nombreuses applications populaires pour cibler un maximum d’utilisateurs. Des attaques similaires attribuées au malware Marcher ont été analysées dans le passé, ici et ici.

En image

Après l’installation, le malware demande plusieurs permissions dont les droits administrateur, comme illustré ci-dessous :

Fig. 1 : Permissions

Dans le passé, nous avons observé des malwares de la même famille s’attaquer à des banques françaises, anglaises et australiennes. La version actuelle s’en prend à des applications de gestion de comptes et à des banques réputées.

Ci-dessous la liste complète des applications visées :

Comme pour les précédentes versions, celle-ci présente une fausse page de paiement une fois que la victime ouvre son Google Play Store. Le malware bloque Google Play jusqu’à ce que l’utilisateur fournisse ses informations bancaires. (Voir l’illustration ci-dessous)

Fig. 2 : Fausse page de paiement

Cependant, à l’heure où cet article est écrit, les pages de paiement fournies par le serveur C&C du malware ne fonctionnent pas correctement. Il est possible que cette version du malware soit toujours en cours de développement.

Conclusion

Android Marcher a été repéré depuis 2013 et continue de cibler activement les données bancaires de nombreux utilisateurs d’appareils mobiles. Pour éviter de faire partie des victimes de ce type de malware, il est préconisé de ne télécharger des applications qu’à partir des plate-formes de confiance comme Google Play. Cela peut être renforcé en désactivant l’option « Sources Inconnues / Unknown sources » dans les paramètres sécurité de l’appareil.

Le ThreatLabZ de Zscaler contrôle de près cette variante du malware Android Marcher pour assurer une bonne protection de ses clients.


Voir les articles précédents

    

Voir les articles suivants