Comment supprimer le maliciel PixBankBot des appareils Android ?
Écrit par Tomas Meskauskas le
Quel type de maliciel est PixBankBot ?
PixBankBot est un cheval de Troie bancaire Android qui exploite la plateforme de paiement instantané Pix. Ce cheval de Troie cible spécifiquement les banques brésiliennes et utilise une structure ATS (Automated Transfer System - Système Automatique de Transfert) pour ses opérations. Il doit être supprimé des appareils infectés dès que possible afin d'éviter tout dommage potentiel.
Vue générale du maliciel PixBankBot
Comme d'autres chevaux de Troie bancaires utilisant un cadre ATS, PixBankBot utilise le service Accessibility pour détecter et surveiller les composants de l'interface utilisateur (UI) dans des applications bancaires spécifiques. En s'appuyant sur le service Accessibility, PixBankBot acquiert la capacité d'effectuer des transactions frauduleuses sur l'appareil de la victime grâce à la mise en œuvre de la fonctionnalité ATS.
En outre, le service Accessibility est utilisé par PixBankBot pour effectuer des opérations d'enregistrement de frappe, enregistrer les interactions de l'utilisateur avec les éléments de l'interface utilisateur et capturer des informations sensibles, notamment les soldes des comptes, les détails des transferts d'argent et la banque ciblée.
Le mécanisme opérationnel de PixBankBot
Lorsque la victime interagit avec des applications telles que Banco Itaú, C6 Bank, Mercado Pago, Nubank, PicPay, ou PagBank Banco, (et potentiellement d'autres applications ciblées), PixBankBot active le keylogging et initie l'exécution de l'ATS. Veuillez noter que la liste des applications ciblées peut être élargie.
Après avoir identifié l'application bancaire ciblée, PixBankBot lance une autre activité qui consiste à générer une fausse fenêtre au sein d'une application légitime. Cette fenêtre trompeuse est conçue pour cacher les activités malveillantes du maliciel aux utilisateurs peu méfiants.
Pendant que la fausse fenêtre est affichée, le maliciel opère en arrière-plan, interagissant avec l'application bancaire authentique pour effectuer des transferts de fonds automatiques.
Le maliciel récupère la clé Pixiciel de la victime à partir d'une URL Pastebin et utilise des clés uniques générées par le système pour effectuer les transferts de fonds. Le maliciel recherche des éléments d'interface utilisateur spécifiques liés à la clé Pix, insère la clé obtenue et récupère le solde du compte de la victime. Il insère ensuite le montant du transfert et termine la transaction en cliquant automatiquement sur les éléments pertinents de l'interface utilisateur.
En outre, le maliciel tente de tromper les utilisateurs en les incitant à authentifier leurs empreintes digitales pour une confirmation biométrique. Après le transfert, le maliciel envoie les détails de la transaction à un serveur de commande et de contrôle (C&C) et se retire lui-même de l'appareil infecté pour échapper à la détection.
| Nom | Cheval de Troie Bancaire PixBankBot |
| Type de Menace | Maliciel Android, Cheval de Troie bancaire Android |
| Noms de Détection | Avast-Mobile (Android:Evo-gen [Trj]), Kaspersky (HEUR:Trojan-Banker.AndroidOS.Yaats.a), McAfee (Artemis!CC6DE8F780B8), Symantec Mobile Insight (AdLibrary:Generisk), Liste complète (VirusTotal) |
| Symptômes | L'appareil fonctionne lentement, les paramètres du système sont modifiés sans l'autorisation de l'utilisateur, des transactions non autorisées sont effectuées. |
| Méthodes de Distribution | Fausses applications PDF, publicités en ligne malveillantes, ingénierie sociale, sites web frauduleux |
| Dommages | Vol d'informations personnelles, perte d'argent, diminution des performances de l'appareil, déchargement rapide de la batterie, diminution de la vitesse d'Internet |
| Suppression du Maliciel (Android) | Pour éliminer les infections par des maliciels, nos chercheurs en sécurité recommandent de scanner votre appareil Android avec un logiciel anti-maliciel légitime. Nous recommandons Avast, Bitdefender, ESET ou Malwarebytes. |
Conclusion
PixBankBot peut causer des dommages importants, notamment des transferts de fonds non autorisés, des vols de données, des atteintes à la vie privée et la compromission d'appareils. Il représente une menace importante pour la sécurité financière et la vie privée des victimes, ce qui souligne la nécessité d'adopter des mesures de sécurité strictes et un comportement prudent de la part des utilisateurs.
Voici quelques exemples d'autres maliciels ciblant les utilisateurs d'Android : DogeRAT, AhRat, et Guerilla.
Comment PixBankBot s'est-il infiltré dans mon appareil ?
Le maliciel PixBankBot se déguise en application PDF légitime, en utilisant l'icône et le nom de l'appli pour tromper les utilisateurs et les inciter à l'installer. Cette tactique astucieuse vise à faire passer l'application malveillante pour authentique et augmente la probabilité que les victimes tombent dans le panneau.
Après avoir été installé, le cheval de Troie bancaire PixBankBot demande à la victime d'activer le service d'accessibilité, que le maliciel exploite pour le keylogging (l'enregistrement de frappe) et le cadre ATS.
Comment éviter l'installation de maliciels ?
Téléchargez des applications à partir de sources fiables telles que le Google Play Store et d'autres boutiques officielles. Évitez de télécharger des applications à partir de sources inconnues. Maintenez le système d'exploitation et les applications de votre appareil à jour. Soyez prudent lorsque vous cliquez sur des liens ou téléchargez des fichiers provenant de sources inconnues, en particulier dans des courriels ou des SMS inattendus.
Lisez les avis avant de télécharger des applications (évitez celles qui n'ont pas d'avis). Ne faites pas confiance aux publicités sur les sites web douteux. Installez un antivirus ou une appli de sécurité réputée sur votre appareil pour rechercher et prévenir les infections par des maliciels.
Capture d'écran de PixBankBot se faisant passer pour une application PDF légitime :
Menu Rapide :
- Introduction
- Comment supprimer l'historique de navigation dans le navigateur web Chrome ?
- Comment désactiver les notifications du navigateur dans le navigateur web Chrome ?
- Comment réinitialiser le navigateur web Chrome ?
- Comment supprimer l'historique de navigation du navigateur web Firefox ?
- Comment désactiver les notifications du navigateur dans le navigateur web Firefox ?
- Comment réinitialiser le navigateur web Firefox ?
- Comment désinstaller les applications potentiellement indésirables et/ou malveillantes ?
- Comment démarrer l'appareil Android en "mode sans échec" ?
- Comment vérifier l'utilisation de la batterie de diverses applications ?
- Comment vérifier l'utilisation des données de diverses applications ?
- Comment installer les dernières mises à jour logicielles ?
- Comment réinitialiser le système à son état par défaut ?
- Comment désactiver les applications qui ont des privilèges d'administrateur ?
Supprimez l'historique de navigation du navigateur web Chrome :
Appuyez sur le bouton "Menu" (trois points dans le coin supérieur droit de l'écran) et sélectionnez "Historique" dans le menu déroulant qui s'ouvre.
Appuyez sur "Effacer les données de navigation", sélectionnez l'onglet "AVANCÉ", choisissez la période et les types de données que vous souhaitez supprimer et appuyez sur "Effacer les données".
[Retour à la Table des Matières]
Désactivez les notifications du navigateur dans le navigateur web Chrome :
Appuyez sur le bouton "Menu" (trois points dans le coin supérieur droit de l'écran) et sélectionnez "Paramètres" dans le menu déroulant qui s'ouvre.
Faites défiler vers le bas jusqu'à ce que vous voyiez l'option "Paramètres du site" et appuyez dessus. Faites défiler vers le bas jusqu'à ce que vous voyiez l'option "Notifications" et appuyez dessus.
Recherchez les sites web qui envoient des notifications au navigateur, appuyez dessus et cliquez sur "Effacer et réinitialiser". Cette opération supprimera les autorisations accordées à ces sites web pour la diffusion de notifications. Toutefois, si vous visitez à nouveau le même site, il est possible qu'une autorisation vous soit à nouveau demandée. Vous pouvez choisir d'accorder ou non ces autorisations (si vous choisissez de refuser, le site web passera dans la section "Bloqué" et ne vous demandera plus d'autorisation).
[Retour à la Table des Matières]
Réinitialisez le navigateur web Chrome :
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Apps" et appuyez dessus.
Faites défiler vers le bas jusqu'à ce que vous trouviez l'application "Chrome", sélectionnez-la et appuyez sur l'option "Stockage".
Appuyez sur "GÉRER LE STOCKAGE", puis sur "EFFACER TOUTES LES DONNÉES" et confirmez l'action en appuyant sur "OK". Notez que la réinitialisation du navigateur éliminera toutes les données qui y sont stockées. Cela signifie que tous les identifiants/mots de passe enregistrés, l'historique de navigation, les paramètres non définis par défaut et les autres données seront supprimés. Vous devrez également vous connecter à nouveau à tous les sites web.
[Retour à la Table des Matières]
Supprimez l'historique de navigation du navigateur web Firefox :
Appuyez sur le bouton "Menu" (trois points dans le coin supérieur droit de l'écran) et sélectionnez "Historique" dans le menu déroulant qui s'ouvre.
Faites défiler vers le bas jusqu'à ce que vous voyiez "Effacer les données privées" et appuyez dessus. Sélectionnez les types de données que vous souhaitez supprimer et appuyez sur "EFFACER DONNÉES".
[Retour à la Table des Matières]
Désactivez les notifications du navigateur dans le navigateur web Firefox :
Visitez le site web qui émet des notifications de navigateur, appuyez sur l'icône affichée à gauche de la barre d'URL (l'icône n'est pas nécessairement un "verrou") et sélectionnez "Modifier les paramètres du site".
Dans la fenêtre qui s'ouvre, choisissez l'option "Notifications" et appuyez sur "EFFACER".
[Retour à la Table des Matières]
Réinitialisez le navigateur web Firefox :
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Apps" et appuyez dessus.
Faites défiler vers le bas jusqu'à ce que vous trouviez l'application "Firefox", sélectionnez-la et appuyez sur l'option "Stockage".
Tapez sur "EFFACER LES DONNÉES" et confirmez l'action en tapant sur "EFFACER". Notez que la réinitialisation du navigateur éliminera toutes les données qui y sont stockées. Cela signifie que tous les identifiants/mots de passe enregistrés, l'historique de navigation, les paramètres non définis par défaut et les autres données seront supprimés. Vous devrez également vous connecter à nouveau à tous les sites web.
[Retour à la Table des Matières]
Désinstallez les applications potentiellement indésirables et/ou malveillantes :
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Apps" et appuyez dessus.
Faites défiler vers le bas jusqu'à ce que vous voyiez une application potentiellement indésirable et/ou malveillante, sélectionnez-la et appuyez sur "Désinstaller". Si, pour une raison quelconque, vous ne parvenez pas à supprimer l'application sélectionnée (par exemple, si un message d'erreur s'affiche), essayez d'utiliser le "mode sans échec".
[Retour à la Table des Matières]
Démarrez l'appareil Android en "mode sans échec" :
Le "mode sans échec" du système d'exploitation Android empêche temporairement l'exécution de toutes les applications tierces. L'utilisation de ce mode est un bon moyen de diagnostiquer et de résoudre divers problèmes (par exemple, supprimer les applications malveillantes qui empêchent les utilisateurs de le faire lorsque l'appareil fonctionne "normalement").
Appuyez sur le bouton "Power" et maintenez-le enfoncé jusqu'à ce que l'écran "Power off" s'affiche. Appuyez sur l'icône "Power off" et maintenez-la enfoncée. Après quelques secondes, l'option "Mode sans échec" apparaîtra et vous pourrez l'exécuter en redémarrant l'appareil.
[Retour à la Table des Matières]
Vérifiez l'utilisation de la batterie des différentes applications :
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Maintenance de l'appareil" et appuyez dessus.
Appuyez sur "Batterie" et vérifiez l'utilisation de chaque application. Les applications légitimes/authentiques sont conçues pour consommer le moins d'énergie possible afin d'offrir la meilleure expérience utilisateur et d'économiser de l'énergie. Par conséquent, une utilisation élevée de la batterie peut indiquer que l'application est malveillante.
[Retour à la Table des Matières]
Vérifiez l'utilisation des données de diverses applications :
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Connexions" et appuyez dessus.
Faites défiler vers le bas jusqu'à ce que vous voyiez "Utilisation des données" et sélectionnez cette option. Comme pour la batterie, les applications légitimes/authentiques sont conçues pour minimiser l'utilisation des données autant que possible. Cela signifie qu'une utilisation importante de données peut indiquer la présence d'une application malveillante. Notez que certaines applications malveillantes peuvent être conçues pour fonctionner uniquement lorsque l'appareil est connecté à un réseau sans fil. C'est pourquoi vous devez vérifier l'utilisation des données mobiles et Wi-Fi.
Si vous trouvez une application qui utilise beaucoup de données alors que vous ne l'utilisez jamais, nous vous conseillons vivement de la désinstaller dès que possible.
[Retour à la Table des Matières]
Installez les dernières mises à jour logicielles :
Maintenir le logiciel à jour est une bonne pratique en matière de sécurité de l'appareil. Les fabricants d'appareils publient en permanence divers correctifs de sécurité et mises à jour d'Android afin de corriger les erreurs et les bogues susceptibles d'être exploités par les cybercriminels. Un système obsolète est beaucoup plus vulnérable, c'est pourquoi vous devez toujours vous assurer que le logiciel de votre appareil est à jour.
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Mise à jour du logiciel" et appuyez dessus.
Appuyez sur "Télécharger les mises à jour manuellement" et vérifiez si des mises à jour sont disponibles. Si c'est le cas, installez-les immédiatement. Nous vous recommandons également d'activer l'option "Télécharger les mises à jour automatiquement", qui permet au système de vous avertir dès qu'une mise à jour est disponible et de l'installer automatiquement.
[Retour à la Table des Matières]
Réinitialisez le système à son état par défaut :
La "réinitialisation d'usine" est un bon moyen de supprimer toutes les applications indésirables, de rétablir les paramètres par défaut du système et de nettoyer l'appareil en général. Toutefois, vous devez garder à l'esprit que toutes les données contenues dans l'appareil seront supprimées, y compris les photos, les fichiers vidéo/audio, les numéros de téléphone (stockés dans l'appareil, et non sur la carte SIM), les messages SMS, etc. En d'autres termes, l'appareil sera restauré à son état initial.
Vous pouvez également restaurer les paramètres de base du système et/ou simplement les paramètres du réseau.
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "À propos du téléphone" et appuyez dessus.
Faites défiler vers le bas jusqu'à ce que vous voyiez "Réinitialiser" et appuyez dessus. Choisissez ensuite l'action que vous souhaitez effectuer :
"Réinitialiser les paramètres" - rétablit tous les paramètres du système par défaut ;
"Réinitialiser les paramètres réseau" - rétablit les paramètres par défaut de tous les paramètres liés au réseau ;
"Réinitialisation des données d'usine" - réinitialise l'ensemble du système et supprime toutes les données stockées ;
[Retour à la Table des Matières]
Désactivez les applications qui ont des privilèges d'administrateur :
Si une application malveillante obtient des privilèges de niveau administrateur, elle peut gravement endommager le système. Pour que votre appareil soit aussi sûr que possible, vous devez toujours vérifier quelles applications disposent de ces privilèges et désactiver celles qui ne le devraient pas.
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Verrouillage de l'écran et sécurité" et appuyez dessus.
Faites défiler vers le bas jusqu'à ce que vous voyiez "Autres paramètres de sécurité", appuyez dessus, puis appuyez sur "Applications d'administration de l'appareil".
Identifiez les applications qui ne devraient pas avoir de privilèges d'administrateur, appuyez sur ces applications et appuyez sur "DÉSACTIVER".
Foire Aux Questions (FAQ)
Mon ordinateur est infecté par le maliciel PixBankBot. Dois-je formater mon périphérique de stockage pour m'en débarrasser ?
Au lieu de procéder à un formatage immédiat, il est conseillé d'utiliser un logiciel antivirus ou un logiciel anti-maliciel fiable pour rechercher et supprimer le logiciel malveillant. Ces outils de sécurité réputés peuvent souvent détecter et éliminer efficacement les maliciels de votre appareil.
Quels sont les principaux problèmes causés par les maliciels ?
Les conséquences des maliciels peuvent varier en fonction de leur type et de leurs capacités, notamment les risques d'usurpation d'identité, de perte financière, de perte de données, de diminution des performances de l'ordinateur et de potentiel d'infections supplémentaires.
Quel est l'objectif du cheval de Troie PixBankBot ?
L'objectif principal du cheval de Troie PixBankBot est de cibler les banques et de mener des activités frauduleuses. Il exploite la plateforme de paiement instantané Pix et utilise un système de transfert automatisé (ATS) pour effectuer des transferts de fonds non autorisés à partir des comptes des victimes.
Comment PixBankBot s'est-il infiltré dans mon appareil ?
PixBankBot utilise une stratégie trompeuse en se faisant passer pour une application PDF légitime, en utilisant des éléments visuels tels que l'icône et le nom de l'application pour tromper les utilisateurs et leur faire croire qu'il s'agit d'une application authentique et digne de confiance. Cette tactique vise à manipuler les utilisateurs pour qu'ils installent le maliciel, ce qui compromet finalement leurs appareils et les expose à des activités malveillantes.
Combo Cleaner me protège-t-il des maliciels ?
Combo Cleaner est capable d'identifier et de supprimer la majorité des maliciels connus. Cependant, il est important de noter que les maliciels sophistiqués se cachent souvent profondément dans le système. Il est donc essentiel d'effectuer une analyse complète du système pour garantir la détection et la suppression de tout maliciel caché de haut niveau.
!Remarquable!
▼ Montrer la discussion