La Commission nigériane des communications (NCC) a alerté le monde d’une application malveillante appelée « Fast Cleaner » qui vole les informations de connexion de l’application bancaire sur les utilisateurs de téléphones Android.
Ikechukwu Adinde, directeur des affaires publiques du NCC, a lancé l’avertissement dans un communiqué publié ce week-end.
Adinde a déclaré que l’équipe de réponse aux incidents de sécurité informatique (CSIRT) du NCC a découvert l’application Fast Cleaner qui prétend être un amplificateur de téléphone et un outil d’économie de batterie, mais contient en fait un logiciel malveillant nommé « Xenomorph ».
Il a déclaré que l’opération principale de l’application consiste à voler des informations d’identification, combinées à l’utilisation de SMS et à l’interception des notifications pour se connecter et utiliser des jetons d’authentification potentiels à deux facteurs.
« Xenomorph est propagé par une application qui a été glissée dans Google Play Store et se faisant passer pour une application légitime appelée “Fast Cleaner”, apparemment destinée à éliminer les fichiers indésirables, à augmenter la vitesse de l’appareil et à optimiser la batterie. En réalité, cette application n’est qu’un moyen par lequel le cheval de Troie Xenomorph pourrait se propager facilement et efficacement.
Pour éviter une détection précoce ou se voir refuser l’accès au PlayStore, “Fast Cleaner” a été diffusé avant que le logiciel malveillant ne soit placé sur le serveur distant, ce qui rend difficile pour Google de déterminer qu’une telle application est utilisée pour des actions malveillantes.
Une fois opérationnel sur l’appareil d’une victime, Xenomorph peut collecter des informations sur l’appareil et le service de messagerie courte (SMS), intercepter les notifications et les nouveaux messages SMS, effectuer des attaques par superposition et empêcher les utilisateurs de le désinstaller. La menace demande également les privilèges des services d’accessibilité, ce qui lui permet de s’accorder d’autres autorisations”.
Le CSIRT a déclaré que le malware vole également les informations d’identification bancaires des victimes en superposant de fausses pages de connexion sur des pages légitimes.
Considérant qu’il peut également intercepter les messages et les notifications, il permet à ses opérateurs de contourner l’authentification à deux facteurs par SMS et de se connecter aux comptes des victimes sans les alerter.
Adinde a ajouté qu’un avis de sécurité du NCC CSIRT indique que le malware a un impact élevé et un taux de vulnérabilité élevé.