Alerte virus : Xenomorph de retour pour piller votre argent !
En février 2022, un virus est repéré, notamment sur Android. Il se fait alors une réputation dans le milieu de la cybersécurité, notamment pour sa capacité à contourner les protections, notamment du Play Store, et à se superposer à d’autres applications de manière presque invisible. Et puis, 50 000 infections de smartphones plus tard, le maliciel n’a plus fait parler de lui. Jusqu’à aujourd’hui : les experts de Threat Fabric viennent de confirmer son retour aux affaires.
La crypto est le nouvel Eldorado
Un an et plusieurs mises à jour plus tard, le virus Xenomorph serait donc de retour sur Android, avec un lot de nouvelles fonctionnalités. En 2022, le malware ciblait les coordonnées et informations bancaires traditionnelles. Dorénavant, il semble se concentrer sur les portefeuilles de crypto-monnaies, ou crypto wallets, plus précisément les clés d’accès. Une stratégie logique, la plupart des virus et programmes malveillants ciblant avant tout les monnaies virtuelles et autres fonds monétaires du monde de la blockchain.
Quelle est la méthode de piratage du virus Xenomorph ?
Si Xenomorph a bénéficié de mises à jour durant l’année passée, le rendant plus redoutable et vicieux, sa méthode d’attaque reste extrêmement simple. Il s’agit du bon vieux piège de la fausse pop up : en naviguant sur Chrome, une fenêtre vous indique qu’une mise à jour du navigateur doit avoir lieu et qu’elle doit être téléchargée via un bouton sur la pop up.
Bien sûr, ce n’est pas une mise à jour qui s’installe sur votre appareil, mais bel et bien un programme malveillant. Une fois en place, le maliciel va utiliser un système de fausse superposition pour subtiliser vos identifiants de connexion. Pour expliquer ce système, prenons un exemple : Xenomorph est installé sur votre smartphone et vous ouvrez une application bancaire. Logiquement, l’écran de connexion s’ouvre, vous demandant vos identifiants personnels. Sauf que le malware va positionner une réplique exacte de la fenêtre bancaire via une Web View, prélevant par là même vos informations de connexion. Vos données sont alors stockées à distance par le programme, à disposition d’un hacker, pour vider par la suite votre portefeuille.
Quelles applications sont ciblées par le virus Xenomorph ?
En soi, Xenomorph repose donc sur une méthode de piratage des plus classiques. Cependant, le programme malveillant innove par son arsenal de fonctionnalités : blocage de la mise en veille du smartphone, simulation d’un clic sur écran tactile mais aussi copie conforme de plus d’une centaine d’applications Android.
Le virus Xenomorph peut ainsi simuler, en Webview, des services bancaires ou crypto comme Binance, Poloniex, Bitpay ou encore Axa et ING. Une flexibilité qui le rend redoutable, alors que les experts estiment à plusieurs milliers le nombre de piratages dus à ce malware depuis son retour à l’été 2023.