Tout sur le cheval de Troie Rotexy

Mobile Malware Rotexy, qui est un hybride d'un bloqueur de ransomware et d'un cheval de Troie bancaire, étend ses membres. En août et septembre, certains des spécialistes ont enregistré plus de 40 000 essais pour intégrer cette application malveillante sur les smartphones Android. Bien que certaines des informations techniques et d'autres détails soient connus du monde entier, nous parlerons de l'infection en détail ainsi que de la solution pour s'en débarrasser gratuitement.

Alors, commençons!

Comment fonctionne le cheval de Troie bancaire Rotexy ?

Rotexy utilise des SMS, y compris le lien de téléchargement d'une application avec un texte attrayant qui invite les gens à cliquer sur les liens et à télécharger l'application. Si le SMS envoyé provient d'un numéro inconnu, il est ignoré, cependant, lorsque vous recevez un tel SMS du numéro d'un ami, c'est à ce moment-là que les gens cliquent sur le lien.

Une fois l'appareil infecté, le cheval de Troie commence à préparer la structure pour l'étape suivante. Rotexy identifie d'abord quel appareil a été infecté, de sorte qu'il pourrait entraver le travail des chercheurs antivirus. Si le logiciel malveillant identifie qu'il fonctionne dans un émulateur, il parcourt le processus d'initialisation de l'application à plusieurs reprises.

Avant que le cheval de Troie ne commence à fonctionner, il vérifie si l'appareil répond aux exigences de base. Une fois fait, il demande les droits d'administrateur. L'utilisateur ne donnera probablement pas l'autorisation, cependant, les fenêtres contextuelles apparaîtront à plusieurs reprises et l'utilisateur ne pourra pas utiliser l'appareil. Une fois l'autorisation accordée, Rotexy notifiera que l'application n'a pas été chargée et masque l'icône.

Prochaine étape, le malware contacte ses propriétaires et leur fournit des informations sur le smartphone. En retour, il reçoit des instructions ainsi qu'une collection de textes et de modèles. Rotexy atteint le serveur C&C, cependant, les pirates ont trouvé d'autres moyens d'envoyer des instructions telles que par SMS ou Google Cloud Messaging.

Rotexy le voleur de SMS

Chaque fois qu'un message est reçu sur un smartphone infecté. Les logiciels malveillants activent le mode silencieux sur l'appareil afin que la victime ne puisse pas écouter le carillon de notification par SMS entrant. Une fois qu'un message est reçu, il intercepte le SMS et le compare avec les modèles reçus du serveur C&C. Si quelque chose d'intéressant, comme les derniers chiffres d'un numéro de carte d'une notification bancaire, est trouvé, il le conserve et l'envoie au serveur. De plus, le logiciel malveillant peut intercepter et répondre à ces messages : les modèles envoyés par les propriétaires de logiciels malveillants ont des textes d'accusé de réception lorsqu'ils sont nécessaires.

Si aucun modèle ou commande n'est reçu, Rotexy enregistre toutes les communications sur l'appareil de la victime et les envoie aux patrons. De plus, si les cybercriminels le souhaitent, le logiciel malveillant peut transmettre un lien de téléchargement à tous les contacts du répertoire téléphonique.

A lire aussi : Informations privilégiées sur le cheval de Troie

Rotexy – cheval de Troie bancaire

Principalement, le malware vole les données de carte bancaire pour fournir un profit maximum à ses propriétaires. Pour cela, il superpose une page web de phishing à l'écran avec le texte reçu avec le SMS interposant les ordres. L'interface et l'apparence de la page peuvent être différentes à chaque fois, mais l'objectif principal est d'informer le propriétaire du smartphone qu'un transfert d'argent l'attend et qu'il doit donner les détails de sa carte pour l'obtenir.

De plus, pour que cela paraisse authentique, les développeurs de logiciels malveillants ont un moyen de vérifier le numéro de carte. Il valide que l'utilisateur saisit le bon numéro de carte. Après cela, Rotexy obtient les quatre derniers chiffres du numéro de carte à partir du SMS bancaire qu'il a stocké et le compare avec ceux que l'utilisateur a saisis sur la page de phishing.

Si cela ne correspond pas, le logiciel malveillant affiche une erreur et demande à l'utilisateur de saisir les détails de la carte correcte.

Rotexy : rançongiciel

Il peut y avoir une autre façon dont Rotexy se comporte. Eh bien, cela dépend de l'instruction qu'il reçoit du serveur C&C. Plutôt que d'afficher une page de phishing, il pourrait bloquer l'écran de votre smartphone avec une fenêtre menaçante demandant à l'utilisateur de payer une amende pour "visionnage régulier de vidéos interdites".

Il montre également la «preuve» photographique qui est un clip pornographique. Les cybercriminels agissent comme une organisation officielle, Rotexy utilise principalement, "FSB Internet Control".

Comment se débarrasser du cheval de Troie Rotexy ?

Après avoir lu tout ce que Rotexy peut faire ci-dessus, vous devez vous demander comment nous pourrions nous en débarrasser. J'espère que vous le pouvez! Vous pouvez débloquer votre smartphone infecté. Comme il est mentionné que Rotexy reçoit des commandes par SMS. Ainsi, le SMS ne doit pas provenir d'un numéro spécifique, n'importe quel numéro de téléphone ou appareil peut l'envoyer.

Donc, si votre téléphone est bloqué, vous avez juste besoin du téléphone de quelqu'un et envoyez une instruction. Vous devez envoyer un SMS à votre numéro avec le texte "393838".

Ce SMS signifie qu'il s'agit d'un ordre pour les logiciels malveillants de changer l'adresse du serveur C&C en vide et aussi, il cessera d'obéir aux cybercriminels.

Là encore, envoyez un texte contenant "3458" à votre numéro - cela empêchera le cheval de Troie d'accéder à votre appareil en utilisant les droits d'administrateur et, par conséquent, le cheval de Troie n'aura plus de prise sur votre appareil.

Le troisième SMS serait un texte « stop_blocker » : Cette instruction poussera Rotexy à supprimer le site ou la bannière bloquant l'écran.

Après avoir suivi ces instructions, si le cheval de Troie recommence à agir et demande les droits d'administrateur de votre appareil, redémarrez votre smartphone en mode sans échec. Une fois l'appareil redémarré, accédez à Applications et notifications ou Gestionnaire d'applications et supprimez le logiciel malveillant de votre appareil.

Remarque : Cette méthode fonctionne sur la version actuelle de Rotexy, cependant, il se peut qu'elle ne fonctionne pas avec les futures versions.

A lire : TeleRAT : un nouveau cheval de Troie qui vole vos données

Instructions pour empêcher Rotexy et autres chevaux de Troie d'infecter votre appareil :

Le processus mentionné ci-dessus est assez lourd et peut également être risqué. Eh bien, si vous restez vigilant et que vous vous occupez de certaines choses, vous n'aurez peut-être pas à y faire face.

Ne cliquez jamais sur des liens suspects, même s'il promet de donner 1 million de dollars.

Téléchargez des applications uniquement à partir de Google Play.

Installez toujours un antivirus mobile fiable sur votre téléphone pour le protéger en permanence.

Ainsi, peu importe la version d'Android sur laquelle vous travaillez ou le logiciel que vous avez installé, un clic sur un lien suspect et votre appareil, vos coordonnées bancaires, tout sera volé. Méfiez-vous et restez toujours vigilant !