Les experts en sécurité de chez Kaspersky ont découvert une nouvelle version du célèbre banking trojan SpyEye qui cette fois-ci reflète vraiment bien son nom. En effet, cette nouvelle version embarque un plugin qui observe ses victimes en utilisant leurs propres webcams.

Un fichier appelé flashcamcontrol.dll modifie les paramètres de Flash Player sur le système infecté afin que des sites web sous le contrôle du pirate puissent accéder à la caméra et au microphone. Selon Kaspersky, les sites web en question sont des sites bancaires allemands.

Quand un utilisateur visite un de ces sites web, SpyEye embarque un applet Flash dans le code HTML. Il utilise ensuite le protocole réseau RTMP (Real Time Messaging Protocol), qui est un protocole propriétaire de Adobe pour la diffusion de flux de données en streaming, pour envoyer le flux vidéo à un serveur contrôlé par le botnet. Quand au but de ces actions, ce n'est pas tout à fait clair. L'expert en sécurité Dmitry Tarakanov de chez Kaspersky croit que c'est le début d'une attaque plus vaste. Il pourrait par exemple permettre au pirate d'enregistrer les appels téléphoniques de la banque demandant à l'utilisateur de confirmer son code PIN.

Flash Player fournit aux développeurs une interface pour accéder à la webcam. Normalement la première fois qu'un site web tente d'utiliser cette fonctionnalité, Flash demande à l'utilisateur si il autorise ou non l'accès à sa webcam. Mais bon avec SpyEye c'est pas un soucis...

Kaspersky, qui analyse les versions de SpyEye depuis le début de cette année, a jusqu'à présent identifié 35 des plugins qui sont utilisés pour ajouter des fonctionnalités supplémentaires au trojan à la volée. En revanche, le développement du bot d'origine semble avoir cessé. Selon le rapport, il n'y a eu aucune mise à jour depuis la version 1.3.48 d'octobre dernier.