Un nouveau type de malware Android pouvant intercepter les messages texte entrants et de les transmettrent aux pirates a été découvert par la firme russe Doctor Web. C’est une menace très grave pour les utilisateurs, car les attaquants peuvent facilement obtenir un code de transaction bancaire ou d’une authentification à deux facteurs.
Le logiciel malveillant, surnommé Android.Pincer.2.origin, est la deuxième forme du malware Android.Pincer.origin et se répand sous la forme de certificats de sécurité que l’utilisateur doit installer.
Au lancement de Android.Pincer.2.origin, l’utilisateur verra une fausse notification de réussite de l’installation du certificat, mais après cela, le cheval de Troie n’exerce aucune activité notable pendant un certain temps. Il va ensuite se connecter à un serveur et y envoyer vos messages texte (SMS) en plus d’autres informations telle que le modèle de smartphone, le numéro de série IMEI et le numéro de téléphone et la version Android est utilisée.
Pour recevoir des instructions de commandes, le malware utilise le format suivant : start_sms_forwarding [numéro de téléphone] – commencer à intercepter les communications à partir d’un numéro spécifié.
La commande start_sms_forwarding est particulièrement intéressante car elle permet à des attaquants d’indiquer le numéro à partir duquel le cheval de Troie va intercepter les messages. Cette fonctionnalité permet aux criminels d’utiliser le cheval de Troie pour les attaques ciblées et de voler des messages spécifiques.