Les Pavillons-sous-Bois, le 18 décembre 2013. Le laboratoire de recherche d’ESET implanté à Montréal vient de détecter un logiciel malveillant sous forme d’un cheval de Troie bancaire très actif, baptisé Qadars. Ce code malveillant cible principalement les utilisateurs de différents pays dont la France, les Pays-Bas, l’Italie, le Canada, l'Inde et l’Australie. Qadars utilise une grande variété de webinjects, certains avec des composants mobiles Android qui sont capables de contourner les systèmes d'authentification à deux facteurs de la banque en ligne afin d‘avoir accès au compte bancaire de l'utilisateur. Le cheval de Troie identifie les utilisateurs dans des régions spécifiques et utilise des fichiers de configuration de WebInjects adaptés aux banques les plus couramment utilisés par les victimes, ce qui le rend beaucoup plus efficace. «Le malware a été observé par ESET lors des six derniers mois et nous pouvons confirmer qu'il est constamment mis à jour», indique Jean-Ian Boutin, chercheur chez ESET Canada.
Détecté comme Win32/Qadars, le malware utilise un schéma Man-in-the-Browser» pour effectuer la fraude financière. Le virus lui-même s‘insère dans le processus de navigation (Firefox ou Internet Explorer) et est capable d'injecter du contenu dans les pages consultées par l'utilisateur. Certains des webinjects sont très sophistiqués et peuvent effectuer des opérations automatiquement et contourner les systèmes d'authentification à deux facteurs mis en œuvre par les banques .
Le contenu peut revêtir plusieurs formes, mais il possède généralement une aptitude à récolter des informations d'identification de l'utilisateur ou à injecter un JavaScript conçu pour tenter des transferts d'argent automatiques, sans que l’utilisateur s’en aperçoive et sans son consentement », explique Jean- Ian Boutin. Les fichiers de configuration webinjects Qadars changent fréquemment et ciblent des organismes spécifiques. Pour maximiser leur succès avec ces webinjects, les auteurs de ces logiciels malveillants essaient d'infecter les utilisateurs dans des régions spécifiques du monde» , ajoute Jean- Ian Boutin.
Une analyse plus détaillée de ce malware est disponible dans le blog d’ESET sous le nom de Qadars sur le site WeLiveSecurity.com.