Home Android Un nouveau malware bancaire Android se déguise en application crypto à propager

Un nouveau malware bancaire Android se déguise en application crypto à propager

by Laurent Francoeur


Un nouveau cheval de Troie bancaire appelé « Malibot » prétend être une application de crypto-minage à diffuser entre les téléphones Android. Bien qu’il ne soit actuellement actif qu’en Espagne et en Italie, il pourrait commencer à cibler les Américains.

Image : Jackie Niam/Adobe Stock

Tout en traquant le malware bancaire mobile FluBot, les chercheurs de F5 Labs découvert la nouvelle menace Malibot destiné aux téléphones Android. Malibot possède un certain nombre de fonctionnalités et de capacités qui en font une menace importante à prendre en compte.

REGARDER: Politique de sécurité des appareils mobiles (TechRepublic Premium)

Comment Malibot est-il distribué ?

Actuellement, les cybercriminels distribuent Malibot via deux canaux différents.

La première méthode de diffusion se fait via le web : les escrocs ont créé deux sites web différents, appelés « Mining X » et « TheCryptoApp » (Figure A Oui Figure B).

Figure A

Site Web CryptoApp créé par des cybercriminels pour propager Malibot.

Figure B

Le site Web MiningX créé par des cybercriminels pour propager Malibot.

La campagne CryptoApp se fait passer pour une application de suivi de crypto-monnaie légitime. L’utilisateur ne sera infecté et ne recevra le lien du logiciel malveillant que s’il navigue à partir d’un téléphone Android. La navigation à partir de tout autre appareil entraînera la réception par l’utilisateur d’un lien légitime vers la véritable application TheCryptoApp sur le Google Play Store. Un lien de téléchargement direct est fourni aux utilisateurs d’Android en dehors du Google Play Store.

Comme pour la campagne de distribution Mining X, un clic sur le lien de téléchargement du site ouvre une fenêtre contenant un code QR pour télécharger l’application.

Le deuxième canal de distribution est le smishing, qui atteint directement les téléphones Android : Malibot a la capacité d’envoyer des messages SMS à la demande, et une fois qu’il reçoit une telle commande, il envoie des messages texte à une liste de téléphones fournie par l’utilisateur. serveur de contrôle.

Quelles données Malibot vole-t-il ?

Malibot est conçu pour voler des informations telles que des données personnelles, des informations d’identification et des connaissances financières. Pour atteindre cet objectif, il peut voler des cookies, des identifiants d’authentification multi-facteurs et des portefeuilles cryptographiques.

comptes Google

Malibot dispose d’un mécanisme pour collecter les informations d’identification du compte Google. Lorsque la victime ouvre une application Google, le malware ouvre une WebView sur une page de connexion Google, forçant l’utilisateur à se connecter et ne lui permettant pas de cliquer sur les boutons de retour.

En plus de collecter les informations d’identification du compte Google, Malibot peut également contourner le 2FA de Google. Lorsque l’utilisateur tente de se connecter à son compte Google, un écran d’avertissement Google s’affiche, que le logiciel malveillant valide immédiatement. Le code 2FA est envoyé à l’attaquant au lieu de l’utilisateur légitime, puis récupéré par le malware pour valider l’authentification.

Injections multiples pour les services en ligne sélectionnés

Le malware fournit également la liste des applications des appareils infectés à l’attaquant, ce qui aide l’attaquant à savoir quelle application le malware peut accrocher pour afficher une injection à la place. Une injection est une page affichée à l’utilisateur qui se fait parfaitement passer pour une page légitime (Figure C).

Figure C

Image : Laboratoires F5. Inject pour la société bancaire italienne Unicredit affiché par le malware.

Selon F5 Labs, le Malibot injecte des institutions financières ciblées en Espagne et en Italie.

Authentification multifacteur

En plus de la méthode utilisée pour voler les comptes Google, Malibot peut également voler les codes d’authentification multifacteur Google Authenticator à la demande. Les codes MFA envoyés par SMS au téléphone mobile sont interceptés par des logiciels malveillants et exfiltrés.

portefeuilles cryptographiques

Malibot peut voler des données des portefeuilles de crypto-monnaie Binance et Trust.

Le malware tente d’obtenir le solde total des portefeuilles des victimes pour Binance et Trust et de l’exporter vers le serveur C2.

Comme pour le portefeuille Trust, Malibot peut également collecter les phrases initiales de la victime, ce qui permet à l’attaquant de transférer ultérieurement tout l’argent vers un autre portefeuille de son choix.

Fraude par SMS

Malibot peut envoyer des SMS à la demande. Bien qu’il utilise principalement cette capacité à se propager par smishing, il peut également envoyer des SMS Premium qui facturent les crédits mobiles des victimes, s’ils sont activés.

Comment Malibot prend-il le contrôle de l’appareil infecté ?

Malibot fait un usage intensif de l’API d’accessibilité d’Android, qui permet aux applications mobiles d’effectuer des actions au nom de l’utilisateur. En utilisant cela, les logiciels malveillants peuvent voler des informations et maintenir la persistance. Plus précisément, il protège contre la désinstallation et la suppression des autorisations en regardant un texte ou des étiquettes spécifiques à l’écran et en appuyant sur le bouton de retour pour empêcher l’action.

Malibot : une menace très active

Les développeurs de Malibot veulent qu’il reste non détecté et persiste aussi longtemps que possible sur les appareils infectés. Pour empêcher le système d’exploitation de le tuer ou de le mettre en pause en cas d’inactivité, le malware se configure comme un lanceur. Chaque fois que son activité est vérifiée, il démarre ou réveille le service.

Certaines protections supplémentaires sont contenues dans le logiciel malveillant, mais ne sont pas utilisées. Les chercheurs de F5 ont trouvé une fonctionnalité permettant de détecter si un logiciel malveillant s’exécute dans un environnement simulé. Une autre fonctionnalité inutilisée configure le malware en tant qu’application cachée.

Plus de cibles Malibot à venir, les États-Unis peuvent déjà être touchés

Bien que l’enquête de F5 Labs ait révélé des cibles en Espagne et en Italie, elle a également découvert une activité en cours qui pourrait laisser entendre que des cybercriminels ciblent des citoyens américains.

Un domaine utilisé par le même pirate se fait passer pour l’US Revenue Service et mène à un site Web « Trust NFT » (Figure D) proposant de télécharger le logiciel malveillant.

Figure D

Nouveau site Web de l’acteur de la menace se faisant passer pour l’agence fiscale américaine dans le nom de domaine, non exposé pour protéger le lecteur.

Un autre site Web utilisant le thème COVID-19 dans son nom de domaine mène au même contenu. Les chercheurs s’attendent à ce que les attaquants déploient davantage de logiciels malveillants via ces nouveaux sites Web dans d’autres parties du monde, y compris aux États-Unis.

Comment se protéger de Malibot

Les logiciels malveillants sont distribués uniquement à partir de sites Web créés par des cybercriminels et SMS. Il n’est actuellement distribué via aucune plate-forme Android légitime, telle que Google Play Store.

N’installez jamais d’application directement téléchargeable en un clic sur un appareil Android. Les utilisateurs ne doivent installer que des applications provenant de magasins d’applications et de plates-formes fiables et légitimes. Les utilisateurs ne doivent jamais installer d’applications à partir d’un lien qu’ils reçoivent par SMS.

Installez des applications de sécurité complètes sur votre appareil Android pour le protéger des menaces connues.

Lors de l’installation d’une application, les autorisations doivent être soigneusement vérifiées. Logiciel malveillant Malibot pour les autorisations d’envoi de SMS lors de son premier démarrage, ce qui devrait éveiller les soupçons.

Divulgation : Je travaille pour Trend Micro, mais les opinions exprimées dans cet article sont les miennes.

Related Posts

Leave a Comment