Vapor : le malware qui vole les identifiants bancaires sur Android et comment se protéger

  • Vapor est un malware sophistiqué distribué via plus de 330 applications d'apparence légitime sur Google Play.
  • Double menace : vous bombarde de publicités frauduleuses et vole vos informations bancaires à l'aide de techniques de phishing avancées.
  • Méthodes de masquage avancées : les icônes invisibles, les faux noms d’applications et les superpositions de blocage les rendent difficiles à détecter et à supprimer.
Joaquin RomeroMis à jour le

Minutes 5

Le malware Vapor affecte Android

Android est le système d’exploitation le plus utilisé au monde et, à ce titre, devient une cible clé pour des campagnes de logiciels malveillants de plus en plus sophistiquées.L’une des attaques les plus récentes et les plus massives a été menée par Vapor, une famille de logiciels malveillants qui a déjà infecté plus de 60 millions d'appareils Android, en utilisant des centaines d'applications distribuées même via la boutique officielle Google Play.

Cette menace se distingue par sa capacité à infiltrer des applications apparemment inoffensives, puis à bombarder l'utilisateur de publicités frauduleuses, voler informations d'identification d'accès et, plus inquiétant encore, coordonnées bancaires et les cartes de crédit. Dans cet article, nous analysons en détail le fonctionnement de ces cartes. Vapor, ses méthodes d'évasion, les risques qu'il représente pour la sécurité financière des utilisateurs et les meilleures pratiques de protection dans le paysage actuel des menaces mobiles.

Le malware Vapor vole les identifiants bancaires sur Android

Qu'est-ce que le malware Vapor et comment infecte-t-il Android ?

Vapor est une campagne de malware hautement organisée et sophistiquée qui a été identifié dans plus de 330 applications malveillantes téléchargées sur le Google Play Store. Initialement, ces applications semblaient légitimes, s'avérant utiles dans des catégories telles que santé et remise en forme, Lecteurs de codes QR, optimiseurs de batterie o gestionnaires de notes. Grâce à cette apparition, Ils ont réussi à passer les contrôles de sécurité de Google Play, car au moment de l'analyse, ils ne contenaient aucun type de code malveillant.

La véritable menace a été activée plus tard : une fois l’application installée et ayant reçu des mises à jour provenant de serveurs distants, téléchargé et exécuté le code malveillant nécessaire au déploiement de ses fonctionnalités cachées. De cette manière, Vapor a réussi à contourner efficacement les systèmes de révision et de protection depuis la boutique officielle, générant une énorme surface d'attaque en peu de temps.

Une partie de la Les applications les plus populaires qui diffusent Vapor comprennent:

  • AquaTracker – 1 million de téléchargements
  • Téléchargeur ClickSave – 1 million de téléchargements
  • Scan Hawk – 1 million de téléchargements
  • Suivi du temps d'eau – 1 million de téléchargements
  • Soit plus – 1 million de téléchargements
  • BeatWatch – 500,000 XNUMX téléchargements
  • TraduireScanner – 100,000 XNUMX téléchargements
  • Localisateur de combiné – 50,000 XNUMX téléchargements

Pour augmenter leur persistance et rendre le suivi plus difficile, les attaquants Ils ont utilisé plusieurs comptes de développeurs et différents SDK publicitaires dans chaque application. Cette tactique leur a permis d'éviter qu'un seul compte supprimé invalide toutes leurs créations et a rendu la détection massive par Google plus difficile.

Logiciel malveillant de vol de banque sur Steam pour Android

Méthodes avancées de dissimulation et d'attaque : comment la vapeur défait les défenses

L’une des plus grandes menaces de Vapor réside dans son extraordinaire capacité à se cacher à la vue de tous. et opèrent sans méfiance sur les appareils infectés. Parmi les techniques les plus connues employées par ce malware, on trouve :

  • Désactiver l'icône sur l'écran d'accueil : En modifiant le fichier AndroidManifest.xml, l'application supprime son icône après l'installation, la rendant invisible pour l'utilisateur dans le tiroir de l'application.
  • Je change de nom: Dans certains cas, des applications malveillantes Ils ont été renommés en applications bien connues comme « Google Voice » ou similaire, ce qui augmente la difficulté de les identifier.
  • Superposition d'annonces plein écran : Le logiciel malveillant exploite des autorisations telles que SYSTEM_ALERT_WINDOW pour afficher des publicités intrusives par-dessus n'importe quelle autre application, bloquant même le bouton de retour et empêchant l'utilisateur de fermer ou de revenir à l'application.
  • Suppression de l'historique des applications récentes : Le malware disparaît de la liste des applications récemment ouvertes, ce qui rend difficile pour l'utilisateur de l'identifier ou de le forcer à le fermer manuellement.

Ces techniques, associées à l’utilisation de composants cachés et code natif, ils font fonctionner Vapor comme un véritable « adware » et, dans ses versions les plus dangereuses, comme un outil pour phishing très efficace. De plus, Toutes les charges utiles malveillantes ne sont pas activées en même temps:Les attaquants peuvent mettre à jour à distance le comportement du malware pour s'adapter à de nouvelles vulnérabilités ou pour intégrer de nouvelles techniques d'évasion.

Fraude publicitaire et vol d'identifiants : l'arme à double tranchant de Vapor

L’objectif initial de nombreuses variantes de Vapor est le monétisation via des publicités non autorisées et invasivesSelon l'analyse de Bitdefender et de l'IAS, ce malware a pu génèrent plus de 200 millions de demandes publicitaires frauduleuses par jour, devenant une source parallèle de revenus pour les cybercriminels via les logiciels publicitaires.

Cependant, l’impact des applications affectées par Vapor va bien au-delà de la publicité. Plusieurs échantillons ont été spécifiquement conçus pour voler des identifiants de connexion et des données bancaires.Pour une analyse plus approfondie de la manière dont ces attaques peuvent être détectées et évitées, consultez Comment détecter facilement les logiciels malveillants sur votre Android.

  • Faux écrans de connexion : Certaines applications affichent des interfaces identiques à celles de services comme Facebook ou YouTube, incitant les utilisateurs à saisir leurs véritables données, qui sont ensuite envoyées aux attaquants.
  • Demandes de coordonnées bancaires : En utilisant des prétextes tels que la « vérification de sécurité », certaines variantes persuadent les utilisateurs de révéler des informations telles que leur code PIN, leur numéro de carte, leur CVV ou leurs mots de passe bancaires en ligne.
  • Vol d'informations financières supplémentaires : Les attaquants peuvent demander aux utilisateurs de saisir des codes reçus par SMS ou des détails supplémentaires pour contourner l'authentification à deux facteurs et même vider les comptes bancaires.

Une fois volé, Les données peuvent être utilisées à des fins de fraude financière, de phishing ou vendues sur le dark web.Tout cela se produit sans que l’utilisateur ne se doute de rien, car l’application continue de fonctionner apparemment normalement.

Vapor dans le contexte des menaces actuelles : chevaux de Troie bancaires et nouvelles variantes

Bien que Vapor a été l’une des campagnes de malwares les plus importantes sur Android ces derniers temps., n'est pas une menace isolée. La croissance exponentielle des attaques visant à voler des identifiants bancaires et des données personnelles est une tendance claire à l'échelle mondiale, avec des campagnes successives combinant ingénierie sociale, phishing et exploitation avancée des autorisations. Apprenez-en davantage sur la menace XHelper et sur la manière dont elle affecte les appareils Android..

Les statistiques des entreprises de cybersécurité telles que Kaspersky et ESET reflètent une augmentation spectaculaire Chevaux de Troie bancaires mobiles et logiciels publicitairesPlus de 33 millions d'attaques de smartphones ont été signalées l'année dernière, les chevaux de Troie bancaires étant responsables d'une augmentation de plus de 190 %. nouveaux malwares tels que BankBot, Crocodilus, NGate et SuperCard Ils présentent des techniques similaires à celles de Vapor, se cachant derrière des applications légitimes, utilisant des superpositions d'écran pour voler des données et, dans certains cas, même relayant des données NFC pour vider des distributeurs automatiques ou effectuer des paiements sans contact frauduleux.

Le dénominateur commun de toutes ces campagnes est la sophistication des techniques utilisées et la facilité avec laquelle elles sont diffusées par les canaux et les messages officiels., ce qui nécessite un niveau de prudence et d’éducation en cybersécurité beaucoup plus élevé de la part des utilisateurs.

Illustration d'un téléphone portable avec une icône d'avertissement
Article connexe:
Guide ultime pour détecter, prévenir et supprimer les logiciels malveillants sur Android : protégez votre téléphone et vos données personnelles

Comment savoir si vous êtes infecté et étapes pour supprimer le malware Vapor

Détecter la présence de vapeur peut ne pas être facile, car Beaucoup de ses applications éliminent toute trace visible dans l'interface du système. Cependant, certains signaux d'alarme doivent nous alerter :

  • Publicité plein écran inattendue, même lorsque vous n'avez aucune application ouverte.
  • Disparition des icônes d'application ceux nouvellement installés qui n'apparaissent pas dans le menu principal.
  • Ralentissement de l'appareil, surchauffe ou consommation élevée de la batterie.
  • Demandes inhabituelles d'autorisations sensibles par des applications qui ne devraient pas en avoir besoin.
  • Redirections vers de fausses pages de connexion ou des demandes de données bancaires en dehors des canaux officiels.

Si vous détectez l’un de ces comportements, il est essentiel de :

  1. Examiner toutes les applications installées Dans Paramètres → Applications → Voir toutes les applications, supprimez les applications suspectes, portant des noms étranges ou sans icône visible sur l'écran d'accueil.
  2. Effectuer une analyse complète avec Google Play Protect ou avec une solution antivirus fiable, telle que Kaspersky, Bitdefender ou ESET.
  3. Mettre à jour le système d'exploitation et des applications officielles pour corriger d'éventuelles vulnérabilités.
  4. Changer tous les mots de passe pertinent et, si vous avez saisi des coordonnées bancaires, contactez votre banque pour l'alerter de l'éventuel compromis.

Comment protéger votre Android contre les logiciels malveillants comme Vapor et autres chevaux de Troie bancaires

Pour éviter les infections par Steam, les chevaux de Troie bancaires et autres variantes similaires, une stratégie de sécurité proactive est nécessaire. Les experts recommandent :

  1. Téléchargez des applications uniquement à partir de sources fiables : Bien que Google Play ne soit pas infaillible, il reste plus sûr que les plateformes tierces. Consultez attentivement les notes, le nombre de téléchargements et les avis avant d'installer une application.
  2. Vérifiez toutes les autorisations demandées : Si une application demande plus d'autorisations que nécessaire (en particulier l'accès aux SMS, aux contacts, aux services d'accessibilité ou à SYSTEM_ALERT_WINDOW), méfiez-vous et enquêtez avant d'accepter.
  3. Désinstaller les applications inutiles ou celles de développeurs peu connus et ne gardez que ceux dont vous avez vraiment besoin.
  4. Appliquez toujours les mises à jour de sécurité Disponibles pour le système d'exploitation et les applications critiques. Ces correctifs corrigent de nombreuses vulnérabilités.
  5. Utiliser des solutions de sécurité anti-malware et les maintenir à jour ; Google Play Protect et les antivirus tiers ajoutent des couches de protection supplémentaires.
  6. Comparer les applications installées avec celles visibles dans le menu principal de l'appareil, car certaines variantes de Vapor suppriment leur présence visuelle pour passer inaperçues.
  7. Ne fournissez jamais de coordonnées bancaires ou d'informations d'identification en dehors des canaux officiels ou des services légitimes de votre banque.
  8. Désactiver les fonctionnalités avancées comme NFC lorsqu'il n'est pas utilisé et évitez de fournir des autorisations d'accessibilité inutiles.
  9. Former et informer sur les risques À votre famille et à votre entourage : l’éducation à la cybersécurité reste la meilleure défense contre les menaces actuelles.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*