Cheval de Troie bancaire DoubleTrouble (Android)

Qu'est-ce que DoubleTrouble ?

DoubleTrouble est un cheval de Troie bancaire qui cible les utilisateurs d'Android. Il est capable de voler diverses informations à l'aide de différentes techniques. DoubleTrouble s'est initialement propagé via des sites de phishing imitant les grandes banques européennes, mais il est désormais diffusé à l'aide de faux sites web hébergeant des logiciels malveillants directement sur les canaux Discord.

Maliciel Android DoubleTrouble

DoubleTrouble en détail

DoubleTrouble cache son véritable objectif en utilisant des noms trompeurs pour ses composants, ce qui le rend difficile à analyser. Il fonctionne comme les malwares bancaires récents : DoubleTrouble utilise les services d'accessibilité d'Android pour mener à bien ses actions malveillantes. De plus, il cache son code malveillant dans l'application et se fait passer pour une extension de confiance, utilisant même l'icône Google Play.

Après l'installation, il demande à l'utilisateur d'activer les services d'accessibilité, ce qui permet au logiciel malveillant de voler des informations et de prendre le contrôle de l'appareil sans être remarqué. Il est important de noter que DoubleTrouble a été mis à jour au fil du temps.

La dernière version dispose de fonctionnalités qui la rendent beaucoup plus dangereuse qu'auparavant. Elle peut désormais voler des données plus efficacement, mieux contrôler les appareils et éviter la détection. Parmi ces nouvelles capacités, on peut citer l'affichage de faux écrans pour capturer les codes PIN ou les schémas de déverrouillage, l'enregistrement de tout ce qui s'affiche à l'écran, l'empêchement de l'ouverture de certaines applications et l'enregistrement de tout ce que la victime tape.

DoubleTrouble peut afficher de faux écrans de verrouillage qui semblent réels et demander à l'utilisateur de saisir son code PIN, son mot de passe ou son schéma de déverrouillage. Il crée ces faux écrans à l'aide d'outils spéciaux provenant de bibliothèques open source. Lorsque la victime saisit ses informations, le logiciel malveillant les capture et les envoie aux attaquants.

Le logiciel malveillant peut également enregistrer ce qui se passe sur l'écran de la victime en demandant de manière cachée l'autorisation de capturer l'écran. Une fois cette autorisation obtenue, il surveille l'écran en temps réel et en prend des photos. Ces images sont ensuite envoyées aux pirates afin qu'ils puissent voir tout ce que fait l'utilisateur, y compris les mots de passe, les coordonnées bancaires et d'autres informations sensibles.

De plus, DoubleTrouble peut bloquer certaines applications, en particulier les applications bancaires ou de sécurité, à l'aide d'une liste qu'il obtient de son serveur de contrôle. Lorsqu'il remarque que l'utilisateur ouvre l'une de ces applications, il affiche un faux « avis de maintenance du système » pour en bloquer l'accès. Cette perturbation aide le logiciel malveillant à mener d'autres attaques, comme l'affichage de faux écrans de connexion pour voler des informations.

De plus, le logiciel malveillant comprend un enregistreur de frappe avancé qui enregistre tout ce que l'utilisateur tape en temps réel. Il surveille les modifications apportées aux champs de texte (par exemple, lorsqu'une personne tape un message, saisit un mot de passe ou modifie un texte). DoubleTrouble suit également les applications que la victime ouvre et celles qui sont installées sur l'appareil.

De plus, DoubleTrouble utilise de faux écrans, ou superpositions, pour inciter les utilisateurs à saisir des informations personnelles telles que leurs noms d'utilisateur, mots de passe ou coordonnées bancaires. Ces faux formulaires sont conçus pour ressembler à des éléments d'applications réelles, par exemple un faux écran « Vérification du compte » pour le Play Store.

Lorsque l'utilisateur saisit ses informations, celles-ci sont capturées puis envoyées aux pirates. Enfin, DoubleTrouble peut simuler des actions de l'utilisateur telles que l'appui sur les boutons Accueil ou Retour, le clic, le balayage ou l'ouverture d'applications et de paramètres. Il peut également afficher des notifications personnalisées, bloquer ou débloquer des applications et manipuler les paramètres de Play Protect.

Résumé de la menace :
Nom	Voleur d'informations DoubleTrouble
Type de menace	Malware Android, application malveillante, application indésirable.
Noms de détection	Avast-Mobile (Android:Evo-gen [Trj]), Combo Cleaner (Android. Riskware.Marcher.aAF), ESET-NOD32 (Une variante d'Android/TrojanDropper.Agent.LOU), Kaspersky (HEUR:Trojan-Dropper.AndroidOS.Hqwar.de), Liste complète (VirusTotal)
Symptômes	L'appareil fonctionne lentement, les paramètres système sont modifiés sans l'autorisation de l'utilisateur, des applications douteuses apparaissent, l'utilisation des données et de la batterie augmente considérablement, les navigateurs redirigent vers des sites Web douteux, des publicités intrusives sont diffusées.
Méthodes de distribution	Faux sites Web, canaux Discord.
Dommages	Vol d'informations personnelles (messages privés, identifiants/mots de passe, etc.), baisse des performances de l'appareil, décharge rapide de la batterie, baisse de la vitesse Internet, pertes de données importantes, pertes financières, usurpation d'identité.
Suppression des maliciels (Windows)	Pour éliminer d'éventuelles infections par des maliciels, analysez votre ordinateur avec un logiciel antivirus légitime. Nos chercheurs en sécurité recommandent d'utiliser Combo Cleaner. Téléchargez Combo Cleaner Un scanner gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par RCS LT, la société mère de PCRisk.

Conclusion

DoubleTrouble représente une menace sérieuse pour les victimes en volant silencieusement des informations sensibles. Les victimes peuvent subir des pertes financières, des usurpations d'identité et des accès non autorisés à leurs comptes. En bloquant les applications de sécurité et en imitant les interfaces de confiance, DoubleTrouble rend sa détection difficile, ce qui permet au logiciel malveillant d'opérer sans être remarqué.

S'il est détecté sur le système, DoubleTrouble doit être supprimé dès que possible. Voici d'autres exemples de logiciels malveillants ciblant les utilisateurs d'Android : Konfety, Qwizzserial et SparkKitty.

Comment DoubleTrouble s'est-il infiltré dans mon appareil ?

DoubleTrouble est principalement diffusé via de faux sites web qui prétendent offrir du contenu ou des téléchargements légitimes. Ces sites trompeurs hébergent le logiciel malveillant et sont souvent promus sur les canaux Discord. Les victimes sont amenées à visiter ces sites et à télécharger ce qui semble être un logiciel utile, mais en réalité, elles installent le logiciel malveillant.

Comment éviter l'installation de logiciels malveillants ?

Soyez prudent avec les e-mails ou autres messages : n'ouvrez pas les pièces jointes et ne cliquez pas sur les liens si le message semble suspect (par exemple, s'il est inattendu ou hors de propos). Maintenez votre système d'exploitation et vos applications à jour, et utilisez un logiciel antivirus fiable.

Ne téléchargez que des programmes et des fichiers provenant de sources fiables, telles que des sites Web officiels ou des boutiques d'applications vérifiées. De plus, n'interagissez pas avec les fenêtres contextuelles, les publicités ou les boutons sur des sites Web douteux, et n'autorisez jamais les sites suspects à vous envoyer des notifications.

Écrans affichés pendant l'installation (source : zimperium.com) :

Écrans DoubleTrouble affichés pendant l'installation (source : zimperium.com)

Interface affichée pour voler les informations de l'écran de verrouillage (source : zimperium.com) :

Interface du cheval de Troie bancaire DoubleTrouble pour voler les données de l'écran de verrouillage

Menu rapide :

Introduction
Comment supprimer l'historique de navigation du navigateur web Chrome ?
Comment désactiver les notifications du navigateur web Chrome ?
Comment réinitialiser le navigateur web Chrome ?
Comment supprimer l'historique de navigation du navigateur web Firefox ?
Comment désactiver les notifications du navigateur dans le navigateur web Firefox ?
Comment réinitialiser le navigateur web Firefox ?
Comment désinstaller les applications potentiellement indésirables et/ou malveillantes ?
Comment démarrer l'appareil Android en « mode sans échec » ?
Comment vérifier l'utilisation de la batterie par différentes applications ?
Comment vérifier l'utilisation des données par différentes applications ?
Comment installer les dernières mises à jour logicielles ?
Comment réinitialiser le système à son état par défaut ?
Comment désactiver les applications disposant de privilèges d'administrateur ?

Supprimer l'historique de navigation du navigateur web Chrome :

Suppression de l'historique de navigation Web de Chrome dans le système d'exploitation Android (étape 1)

Appuyez sur le bouton «Menu » (trois points dans le coin supérieur droit de l'écran) et sélectionnez «Historique » dans le menu déroulant qui s'ouvre.

Suppression de l'historique de navigation Web de Chrome dans le système d'exploitation Android (étape 2)

Appuyez sur «Effacer les données de navigation », sélectionnez l'onglet «AVANCÉ », choisissez la période et les types de données que vous souhaitez supprimer, puis appuyez sur «Effacer les données ».

[Retour à la Table des Matières]

Désactiver les notifications du navigateur dans le navigateur Web Chrome :

Désactiver les notifications du navigateur Chrome dans le système d'exploitation Android (étape 1)

Appuyez sur le bouton «Menu » (trois points dans le coin supérieur droit de l'écran) et sélectionnez «Paramètres » dans le menu déroulant qui s'ouvre.

Désactiver les notifications du navigateur Chrome dans le système d'exploitation Android (étape 2)

Faites défiler vers le bas jusqu'à l'option «Paramètres du site » et appuyez dessus. Faites défiler vers le bas jusqu'à l'option «Notifications » et appuyez dessus.

Désactiver les notifications du navigateur Chrome dans le système d'exploitation Android (étape 3)

Recherchez les sites web qui envoient des notifications du navigateur, appuyez dessus et cliquez sur «Effacer et réinitialiser ». Cela supprimera les autorisations accordées à ces sites web pour envoyer des notifications. Cependant, lorsque vous visiterez à nouveau le même site, il se peut qu'il vous demande à nouveau l'autorisation. Vous pouvez choisir d'accorder ou non ces autorisations (si vous choisissez de refuser, le site web sera ajouté à la section «Bloqués » et ne vous demandera plus l'autorisation).

[Retour à la Table des Matières]

Réinitialisez le navigateur Web Chrome :

Réinitialisation du navigateur Chrome aux paramètres par défaut dans le système d'exploitation Android (étape 1)

Allez dans «Paramètres », faites défiler vers le bas jusqu'à «Applications » et appuyez dessus.

Réinitialisation du navigateur Chrome aux paramètres par défaut dans le système d'exploitation Android (étape 2)

Faites défiler vers le bas jusqu'à trouver l'application «Chrome », sélectionnez-la et appuyez sur l'option «Stockage ».

Réinitialisation du navigateur Chrome aux paramètres par défaut dans le système d'exploitation Android (étape 3)

Appuyez sur «GÉRER LE STOCKAGE », puis sur «EFFACER TOUTES LES DONNÉES » et confirmez l'action en appuyant sur «OK ». Notez que la réinitialisation du navigateur supprimera toutes les données qui y sont stockées. Cela signifie que tous les identifiants/mots de passe enregistrés, l'historique de navigation, les paramètres non par défaut et autres données seront supprimés. Vous devrez également vous reconnecter à tous les sites web.

[Retour à la Table des Matières]

Supprimer l'historique de navigation du navigateur web Firefox :

Supprimer l'historique de navigation de Firefox dans le système d'exploitation Android (étape 1)

Appuyez sur le bouton «Menu » (trois points dans le coin supérieur droit de l'écran) et sélectionnez «Historique » dans le menu déroulant qui s'ouvre.

Supprimer l'historique de navigation de Firefox dans le système d'exploitation Android (étape 2)

Faites défiler vers le bas jusqu'à ce que vous voyiez «Effacer les données privées » et appuyez dessus. Sélectionnez les types de données que vous souhaitez supprimer et appuyez sur «EFFACER LES DONNÉES ».

[Retour à la Table des Matières]

Désactiver les notifications du navigateur dans le navigateur Web Firefox :

Désactiver les notifications du navigateur dans le navigateur Web Firefox sous le système d'exploitation Android (étape 1)

Rendez-vous sur le site web qui envoie les notifications du navigateur, appuyez sur l'icône affichée à gauche de la barre d'adresse (l'icône ne sera pas nécessairement un «cadenas ») et sélectionnez «Modifier les paramètres du site ».

Désactiver les notifications du navigateur dans le navigateur Web Firefox sous le système d'exploitation Android (étape 2)

Dans la fenêtre contextuelle qui s'ouvre, cochez l'option «Notifications » et appuyez sur «EFFACER ».

[Retour à la Table des Matières]

Réinitialisez le navigateur web Firefox :

Réinitialisation du navigateur Firefox dans le système d'exploitation Android (étape 1)

Allez dans «Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez «Applications » et appuyez dessus.

Réinitialisation du navigateur Firefox dans le système d'exploitation Android (étape 2)

Faites défiler vers le bas jusqu'à trouver l'application «Firefox », sélectionnez-la et appuyez sur l'option «Stockage ».

Réinitialisation du navigateur Firefox dans le système d'exploitation Android (étape 3)

Appuyez sur «EFFACER LES DONNÉES » et confirmez l'action en appuyant sur «SUPPRIMER ». Notez que la réinitialisation du navigateur supprimera toutes les données qui y sont stockées. Cela signifie que tous les identifiants/mots de passe enregistrés, l'historique de navigation, les paramètres non par défaut et autres données seront supprimés. Vous devrez également vous reconnecter à tous les sites web.

[Retour à la Table des Matières]

Désinstallez les applications potentiellement indésirables et/ou malveillantes :

Suppression des applications indésirables/malveillantes du système d'exploitation Android (étape 1)

Allez dans «Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez «Applications » et appuyez dessus.

Suppression des applications indésirables/malveillantes du système d'exploitation Android (étape 2)

Faites défiler vers le bas jusqu'à ce que vous voyiez une application potentiellement indésirable et/ou malveillante, sélectionnez-la et appuyez sur «Désinstaller ». Si, pour une raison quelconque, vous ne parvenez pas à supprimer l'application sélectionnée (par exemple, si un message d'erreur s'affiche), essayez d'utiliser le «Mode sans échec ».

[Retour à la Table des Matières]

Démarrez l'appareil Android en « mode sans échec » :

Le «mode sans échec » du système d'exploitation Android désactive temporairement toutes les applications tierces. L'utilisation de ce mode est un bon moyen de diagnostiquer et de résoudre divers problèmes (par exemple, supprimer les applications malveillantes qui vous empêchent de le faire lorsque l'appareil fonctionne « normalement »).

Démarrer un appareil Android en mode sans échec

Appuyez sur le bouton «Alimentation » et maintenez-le enfoncé jusqu'à ce que l'écran «Éteindre » s'affiche. Appuyez sur l'icône «Éteindre » et maintenez-la enfoncée. Après quelques secondes, l'option «Mode sans échec » apparaîtra et vous pourrez l'exécuter en redémarrant l'appareil.

[Retour à la Table des Matières]

Vérifiez l'utilisation de la batterie par différentes applications :

Vérification de l'utilisation de la batterie par différentes applications dans le système d'exploitation Android (étape 1)

Allez dans «Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez «Maintenance de l'appareil » et appuyez dessus.

Vérification de l'utilisation de la batterie par différentes applications dans le système d'exploitation Android (étape 2)

Appuyez sur «Batterie » et vérifiez l'utilisation de chaque application. Les applications légitimes/authentiques sont conçues pour consommer le moins d'énergie possible afin d'offrir la meilleure expérience utilisateur et d'économiser de l'énergie. Par conséquent, une utilisation élevée de la batterie peut indiquer que l'application est malveillante.

[Retour à la Table des Matières]

Vérifiez l'utilisation des données de différentes applications :

Vérification de l'utilisation des données de diverses applications dans le système d'exploitation Android (étape 1)

Allez dans «Paramètres », faites défiler vers le bas jusqu'à «Connexions » et appuyez dessus.

Vérification de l'utilisation des données de diverses applications dans le système d'exploitation Android (étape 2)

Faites défiler vers le bas jusqu'à ce que vous voyiez «Utilisation des données » et sélectionnez cette option. Comme pour la batterie, les applications légitimes/authentiques sont conçues pour minimiser autant que possible l'utilisation des données. Cela signifie qu'une utilisation importante des données peut indiquer la présence d'une application malveillante. Notez que certaines applications malveillantes peuvent être conçues pour fonctionner uniquement lorsque l'appareil est connecté à un réseau sans fil. C'est pourquoi vous devez vérifier à la fois l'utilisation des données mobiles et Wi-Fi.

Vérification de l'utilisation des données de diverses applications dans le système d'exploitation Android (étape 3)

Si vous trouvez une application qui utilise beaucoup de données alors que vous ne l'utilisez jamais, nous vous recommandons vivement de la désinstaller dès que possible.

[Retour à la Table des Matières]

Installez les dernières mises à jour logicielles :

Il est recommandé de maintenir le logiciel à jour pour garantir la sécurité de l'appareil. Les fabricants d'appareils publient en permanence divers correctifs de sécurité et mises à jour Android afin de corriger les erreurs et les bogues qui peuvent être exploités par des cybercriminels. Un système obsolète est beaucoup plus vulnérable, c'est pourquoi vous devez toujours vous assurer que le logiciel de votre appareil est à jour.

Installation des mises à jour logicielles dans le système d'exploitation Android (étape 1)

Allez dans «Paramètres », faites défiler vers le bas jusqu'à «Mise à jour logicielle » et appuyez dessus.

Installation des mises à jour logicielles dans le système d'exploitation Android (étape 2)

Appuyez sur «Télécharger les mises à jour manuellement » et vérifiez si des mises à jour sont disponibles. Si c'est le cas, installez-les immédiatement. Nous vous recommandons également d'activer l'option «Télécharger les mises à jour automatiquement » : le système vous avertira dès qu'une mise à jour sera disponible et/ou l'installera automatiquement.

[Retour à la Table des Matières]

Réinitialisez le système à son état par défaut :

Effectuer une «réinitialisation d'usine » est un bon moyen de supprimer toutes les applications indésirables, de restaurer les paramètres par défaut du système et de nettoyer l'appareil en général. Cependant, vous devez garder à l'esprit que toutes les données contenues dans l'appareil seront supprimées, y compris les photos, les fichiers vidéo/audio, les numéros de téléphone (stockés dans l'appareil, et non sur la carte SIM), les messages SMS, etc. En d'autres termes, l'appareil sera restauré à son état d'origine.

Vous pouvez également restaurer les paramètres système de base et/ou simplement les paramètres réseau.

Réinitialisation du système d'exploitation Android à ses paramètres par défaut (étape 1)

Allez dans «Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez «À propos du téléphone » et appuyez dessus.

Réinitialisation du système d'exploitation Android à ses paramètres par défaut (étape 2)

Faites défiler vers le bas jusqu'à ce que vous voyiez «Réinitialiser » et appuyez dessus. Choisissez maintenant l'action que vous souhaitez effectuer :
«Réinitialiser les paramètres » : rétablit tous les paramètres système par défaut ;
«Réinitialiser les paramètres réseau » : rétablit tous les paramètres liés au réseau par défaut ;
«Réinitialisation des données d'usine » : réinitialise l'ensemble du système et supprime complètement toutes les données stockées ;

[Retour à la Table des Matières]

Désactivez les applications disposant de privilèges d'administrateur :

Si une application malveillante obtient des privilèges de niveau administrateur, elle peut gravement endommager le système. Pour garantir la sécurité maximale de l'appareil, vous devez toujours vérifier quelles applications disposent de tels privilèges et désactiver celles qui ne devraient pas en avoir.

Désactiver les applications Android disposant de privilèges d'administrateur (étape 1)

Accédez à «Paramètres », faites défiler vers le bas jusqu'à «Écran de verrouillage et sécurité », puis appuyez dessus.

Désactiver les applications Android disposant de privilèges d'administrateur (étape 2)

Faites défiler vers le bas jusqu'à ce que vous voyiez «Autres paramètres de sécurité », appuyez dessus, puis appuyez sur «Applications d'administration de l'appareil ».

Désactiver les applications Android disposant de privilèges d'administrateur (étape 3)

Identifiez les applications qui ne devraient pas disposer de privilèges d'administrateur, appuyez dessus, puis appuyez sur «DÉSACTIVER».

Foire aux questions (FAQ)

Mon appareil est infecté par le malware DoubleTrouble, dois-je formater mon périphérique de stockage pour m'en débarrasser ?

DoubleTrouble peut probablement être supprimé sans formater votre appareil. Pour détecter et éliminer le logiciel malveillant, il est conseillé d'essayer d'exécuter un logiciel antivirus mobile réputé tel que Combo Cleaner.

Quels sont les principaux problèmes que peuvent causer les logiciels malveillants ?

Selon le type de malware et ses capacités, les conséquences peuvent inclure le vol d'identité, des pertes financières, une baisse des performances de l'appareil et des infections supplémentaires.

Quel est l'objectif de DoubleTrouble ?

L'objectif de DoubleTrouble est de voler des informations sensibles, telles que des codes PIN, des mots de passe et des données personnelles, en trompant les utilisateurs avec de faux écrans et en enregistrant secrètement l'activité de leur appareil. Il prend également le contrôle de l'appareil pour bloquer les applications et surveiller tout ce que l'utilisateur tape.

Comment DoubleTrouble s'est-il infiltré dans mon appareil ?

DoubleTrouble infecte généralement les appareils par le biais de faux sites web qui semblent légitimes et sont souvent partagés sur Discord. Les utilisateurs sont amenés à télécharger ce qui semble être un logiciel utile, mais qui installe en réalité le logiciel malveillant.

Combo Cleaner me protégera-t-il contre les logiciels malveillants ?

Oui, Combo Cleaner peut détecter et supprimer presque tous les logiciels malveillants connus. Étant donné que les logiciels malveillants avancés se cachent souvent profondément dans le système, il est nécessaire d'effectuer une analyse complète du système.