Déguisé en version Android (Clubhouse n’existe pas encore sur le store Android) de l’application de chat audio sur invitation, le malware est hébergé sur un site web qui a l’apparence et la convivialité du site web authentique de Clubhouse. Le cheval de Troie, surnommé BlackRock par ThreatFabric et détecté par les équipes de Eset sous le nom de Android/TrojanDropper.Agent.HLR, est capable de voler les données de connexion des victimes à pas moins de 458 services en ligne.
La liste des cibles comprend des applications financières et commerciales bien connues, des échanges de crypto-monnaies, ainsi que des réseaux sociaux et des plates-formes de messagerie. Twitter, WhatsApp, Facebook, Amazon, Netflix, Outlook, eBay, Coinbase, Plus500, Cash App, BBVA et Lloyds Bank figurent notamment tous sur la liste. Le site web ressemble au vrai. Pour être franc, il s’agit d’une copie bien réalisée du site web légitime de Clubhouse. Toutefois, dès que l’utilisateur clique sur « Get it on Google Play » (le télécharger à partir de Google Play), l’application est automatiquement téléchargée sur son appareil. Les sites web légitimes, eux, redirigeraient toujours l’utilisateur vers Google Play, plutôt que de télécharger directement un kit d’application Android, ou APK en abrégé.
Il faut être attentif à ce sur quoi vous cliquez !
Malicious web claiming to offer #Clubhouse for Android spreads banking trojan Blackrock. It lures credentials from 458 apps – financial, cryptocurrency exchanges & wallets, social, IM and shopping apps. There is currently no official Clubhouse app for Android. #ESETresearch 1/2 pic.twitter.com/azlxjvIgNO
— ESET Research (@ESETresearch) March 16, 2021
Une fois que la victime s’est laissée convaincre de télécharger et d’installer BlackRock, le cheval de Troie tente de dérober ses identifiants via une attaque par superposition. En d’autres termes, chaque fois que l’utilisateur lance l’une des applications ciblées, le malware ajoute des éléments par-dessus l’application qui permettent de voler des données en demandant à l’utilisateur de se connecter. Et au lieu de se connecter, l’utilisateur transmet involontairement ses identifiants aux cybercriminels.
L’utilisation d’une authentification à deux facteurs (2FA) par SMS pour empêcher quiconque d’infiltrer vos comptes ne serait pas nécessairement utile dans ce cas, puisque le malware est également capable d’intercepter les messages texte. L’application malveillante demande également aux victimes d’activer les services d’accessibilité, permettant ainsi aux criminels de prendre le contrôle de l’appareil.
Recommandation supplémentaire en entreprise, ICI