L'éditeur de solutions de sécurité Sophos informe au sujet d'un nouveau malware Android, après qu'un groupe d'établissements bancaires basés à Singapour a tiré la sonnette d'alarme.

Pour l'instant, seule la région de Singapour serait affectée. En revanche là-bas, il y aurait déjà 2,4 millions de victimes. Le malware est baptisé Andr/InfoStl-AZ ou Andr/InfoStl-BM par les outils de détection Sophos.

Ce malware, qui existe en plusieurs variantes, a tout du caméléon. Principalement, il se présente sous la forme d'une mise à jour du système proposée par Samsung. Mais il se fait aussi passer pour un lecteur Flash. Dans tous les cas, il demande bien évidemment le maximum de droits, après quoi il sévit.

Une fois en place il ouvre des popups demandant des informations bancaires. Il se fait passer par exemple pour WhatsApp et propose une extension de souscription pour 0,99 dollars par an :

Add or update your billing information to extend your WhatsApp subscriptions (0.99$/year) automatically.

Il se fait passer de façon similaire pour Google Play ou Google Music.

Si ces popups ne trompent pas forcément les utilisateurs, il y a plus sournois. Le malware est capable de lire les SMS entrants et d'en extraire les codes à usage unique envoyés par les banques lors de transaction bancaires, ou les mots de passe à usage unique envoyés par les banques pour une connexion à leurs sites.

Ces données volées sont immédiatement transmises à un serveur pour être exploitées par les cybercriminels qui se cachent derrière ce malware.