Cheval de Troie bancaire Hydra

Les acteurs de la menace utilisent un cheval de Troie bancaire Android invasif nommé Hydra pour cibler les clients de Commerzbank, l'une des plus grandes banques d'Allemagne, en particulier. Les cybercriminels diffusaient leur outil menaçant sous le couvert d'un gestionnaire de documents PDF. La fausse application a même pu contourner les mécanismes défensifs du Google Play Store pendant un moment mais a depuis été supprimée. Pourtant, la menace est distribuée sur des magasins d'applications tiers, tels que apkaio.com et apkcombo.com. De plus, les utilisateurs qui ont déjà téléchargé l'application devront nettoyer manuellement leurs appareils, de préférence avec une solution anti-malware professionnelle.

Une fois activé sur l'appareil Android de l'utilisateur, Hydra demandera plus de 20 autorisations étendues. Si elle lui est accordée, la menace pourra effectuer de nombreuses actions invasives sur l'appareil. Tout en fonctionnant silencieusement en arrière-plan, Hydra peut surveiller ou même intercepter toutes les données entrantes ou sortantes. La menace peut modifier les paramètres Wi-Fi, accéder à la liste de contacts de l'appareil piraté et modifier tout stockage externe qui lui est connecté. Hydra peut initier des appels téléphoniques, envoyer des messages SMS, installer des applications supplémentaires et afficher des alertes système. S'il est entièrement établi, le cheval de Troie bancaire Hydra peut prendre des captures d'écran et collecter des mots de passe à usage unique, ainsi que le code PIN utilisé pour déverrouiller l'écran de l'appareil.

Pour passer inaperçu, le malware masque sa propre icône et désactive Play Protect sur l'appareil. De plus, pour masquer son trafic anormal, Hydra utilise une communication TOR cryptée.