Passer au contenu

Le malware Vultur est de retour pour prendre le « contrôle total » de votre smartphone

Vultur, un redoutable malware bancaire, fait son grand retour. Armé de nouvelles fonctionnalités, le logiciel malveillant cherche à prendre le contrôle de votre smartphone pour vous dépouiller. Pour arriver à leurs fins, les pirates s’appuient sur un mode opératoire sophistiqué, incluant un appel téléphonique et une application factice.

Dans le courant de l’été 2021, un logiciel malveillant du nom de Vultur a été repéré sur les smartphones Android. Dissimulé dans le code de plusieurs applications du Play Store, le cheval de Troie bancaire était parvenu à berner des milliers d’internautes. Par la suite, le virus s’est fait remarquer en s’attaquant à des services financiers en ligne comme N26, PayPal, Aion Bank, Bunq, ou encore Revolut.

Plus de deux ans après sa première apparition, Vultur est de retour en force. D’après l’enquête réalisée par Joshua Kamp, chercheur en cybersécurité de NCCGroup, une nouvelle version du malware a récemment été déployée. Cette itération se distingue par « de nouvelles fonctionnalités techniques, qui permettent à l’opérateur de logiciels malveillants d’interagir davantage à distance avec l’appareil mobile de la victime ». Comme l’explique l’expert, le mode opératoire de Vultur est devenu plus sophistiqué. Il repose en effet sur une attaque TOAD (Telephony-Oriented Attack Delivery). Ce type d’opération consiste à piéger les utilisateurs par le biais d’un appel téléphonique.

À lire aussi : Ces 28 applications Android sont une menace pour votre smartphone, désinstallez-les

Le mode opératoire de Vultur

Pour pénétrer sur le téléphone de ses cibles, le virus se cache dans une fausse application McAfee Security, un antivirus accompagné d’un VPN. Dans un premier temps, la victime va recevoir un SMS l’informant d’un sérieux problème de sécurité sur son smartphone. Le message enjoint la cible à contacter un numéro de téléphone. Si l’internaute obtempère, il entrera en contact avec un cybercriminel qui se fait passer pour le service client de McAfee. Celui-ci va envoyer à la cible un SMS contenant un lien d’installation pour l’application factice McAfee Security.

Cette application contient un malware de type dropper, ou compte-gouttes en français. Ce type de virus est uniquement conçu pour installer d’autres types de malwares sur une machine infectée. C’est ce logiciel malveillant qui va installer Vultur sur l’appareil. Une fois que ce malware est déployé, il va tout faire pour s’emparer des coordonnées bancaires de la victime ainsi que de ses clés privées, qui offrent l’accès à des portefeuilles contenant des cryptomonnaies.

Prendre le contrôle de votre smartphone

Les nouveautés de cette nouvelle version de Vultur sont multiples, indique NCCGroup. En effet, le malware est désormais capable « d’interagir à distance avec l’écran de la victime d’une manière plus flexible ». Par exemple, le virus peut cliquer sur des contenus à votre place, faire défiler ou balayer une page, ou télécharger, supprimer et chercher des fichiers. Par ailleurs, Vultur peut empêcher la cible de lancer certaines applications sur son smartphone. Pour Kamp, il est évident que « l’objectif principal est d’obtenir un contrôle total sur les appareils compromis ».

Avec le contrôle du terminal, le virus va enregistrer tous les mots de passe et identifiants tapés par l’utilisateur, intercepter tous les SMS, dont les codes d’authentification, et les notifications. In fine, il peut siphonner tout l’argent contenu sur un compte en banque et s’emparer de toutes vos cryptomonnaies. Le chercheur s’attend « à ce que plus de fonctionnalités soient ajoutées à Vultur dans un avenir proche ». C’est pourquoi il vaut mieux redoubler de prudence. Comme toujours, on vous recommande de ne pas accorder votre confiance à des SMS provenant d’expéditeurs inconnus.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : NCCGroup


Florian Bayard
Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *