FakeSpy, un malware bancaire usurpant les services postaux, qui cible la France
jeu, 02/07/2020 - 13:06
L’équipe de recherches sur les cybermenaces, Nocturnus de Cybereason, a enquêté sur une nouvelle version du logiciel malveillant FakeSpy. Cette version se fait passer pour des applications de services postaux ou de transports, et touche des cibles aux États-Unis, au Royaume-Uni, en France, en Allemagne, au Japon et dans de nombreux autres pays. Le malware a été notamment identifié en France en avril 2020 lors d’une campagne de phishing ciblant les usagers de la Poste en attente de colis. Cette campagne illustrait bien le fonctionnement de FakeSpy : le SMS envoyé aux usagers renvoyait vers une fausse page web, permettant l’installation du Cheval de Troie, dont l’objectif final est de récupérer l’intégralité des informations personnelles sur le smartphone de la victime).
FakeSpy a été découvert pour la première fois en 2017. La dernière version analysée par Cybereason est beaucoup plus puissante que les précédentes, car ses auteurs l'ont bien entretenue au fil des ans et l'ont maintenant associée à de nombreuses mises à jour qui la rendent plus sophistiquée, plus évasive et mieux équipée pour faire des dégâts. De nouvelles techniques d'anti-émulation et des améliorations du code ont été ajoutées. Jusqu'à ce dernier lancement, FakeSpy avait surtout fait des victimes en Corée du Sud et au Japon mais il fait désormais des nouvelles victimes aux États-Unis, au Royaume-Uni, en Allemagne, en France, en Suisse et plusieurs autres pays.
Cyberreason a publié un analyse technique détaillée du fonctionnement de FakeSpy dans ce billet.