Un nouveau malware de fraude bancaire appelé Vultur infecte des milliers d’appareils


Un nouveau malware de fraude bancaire appelé Vultur infecte des milliers d'appareils

Les logiciels malveillants Android récemment détectés, dont certains se sont propagés via le Google Play Store, utilisent un nouveau moyen de surcharger la récolte des informations de connexion à partir de plus de 100 applications bancaires et de crypto-monnaie.

Le malware, que les chercheurs de la société de sécurité basée à Amsterdam ThreatFabric appellent Vultur, est l’une des premières menaces Android à enregistrer un écran d’appareil chaque fois que l’une des applications ciblées est ouverte. Vultur utilise une implémentation réelle de l’application de partage d’écran VNC pour refléter l’écran de l’appareil infecté sur un serveur contrôlé par un attaquant, ont déclaré des chercheurs de ThreatFabric.

MenaceTissu

MenaceTissu

Le niveau suivant

Le typique mode opératoire pour les logiciels malveillants de fraude bancaire basés sur Android consiste à superposer une fenêtre sur l’écran de connexion présenté par une application ciblée. La « superposition », comme ces fenêtres sont généralement appelées, apparaît identique à l’interface utilisateur de l’application bancaire, donnant aux victimes l’impression qu’elles saisissent leurs informations d’identification dans un logiciel de confiance. Les attaquants récupèrent ensuite les informations d’identification, les saisissent dans l’application exécutée sur un autre appareil et retirent de l’argent.

« Les menaces bancaires sur la plate-forme mobile ne sont plus uniquement basées sur des attaques par superposition bien connues, mais évoluent vers des logiciels malveillants de type RAT, héritant d’astuces utiles telles que la détection d’applications de premier plan pour démarrer l’enregistrement d’écran », ont écrit les chercheurs de ThreatFabric à propos de la nouvelle approche Vultur dans une Publier.

Ils ont continué :

Cela porte la menace à un autre niveau, car de telles fonctionnalités ouvrent la porte à la fraude sur l’appareil, contournant la détection basée sur les MO de phishing qui nécessitent que la fraude soit effectuée à partir d’un nouvel appareil : avec Vultur, la fraude peut se produire sur l’appareil infecté de la victime. Ces attaques sont évolutives et automatisées puisque les actions pour effectuer une fraude peuvent être scriptées sur le backend du malware et envoyées sous forme de commandes séquencées.

Vultur, comme de nombreux chevaux de Troie bancaires Android, s’appuie fortement sur services d’accessibilité intégré au système d’exploitation mobile. Lors de la première installation, Vultur abuse de ces services pour obtenir les autorisations nécessaires pour fonctionner. Pour ce faire, le malware utilise une surcouche issue d’autres familles de malwares. Dès lors, Vultur surveille toutes les demandes qui déclenchent les services d’accessibilité.

MenaceTissu

Furtif et plus

Le malware utilise les services pour détecter les demandes provenant d’une application ciblée. Le malware utilise également les services pour empêcher la suppression de l’application via des mesures traditionnelles. Plus précisément, chaque fois que l’utilisateur essaie d’accéder à l’écran des détails de l’application dans les paramètres Android, Vultur clique automatiquement sur le bouton de retour. Cela empêche l’utilisateur d’accéder au bouton de désinstallation. Vultur cache également son icône.

Une autre façon dont le malware reste furtif : les applications cheval de Troie qui l’installent sont des programmes complets qui fournissent en fait de vrais services, tels que le suivi de la condition physique ou l’authentification à deux facteurs. Malgré les tentatives de dissimulation, cependant, le malware fournit au moins un signe révélateur qu’il est en cours d’exécution – quelle que soit l’application installée par un cheval de Troie Vultur apparaîtra dans le panneau de notification Android comme projetant l’écran.

MenaceTissu

Une fois installé, Vultur démarre l’enregistrement d’écran, en utilisant l’implémentation VNC à partir d’une application Android bien connue (Ars omet le nom, mais il est inclus dans le rapport ThreatFabric). Pour fournir un accès à distance au serveur VNC exécuté sur l’appareil infecté, le logiciel malveillant utilise jupe, une application qui utilise un tunnel crypté pour exposer les systèmes locaux cachés derrière des pare-feu à l’Internet public.

Le malware est installé par une application cheval de Troie appelée compte-gouttes. Jusqu’à présent, les chercheurs de ThreatFabric ont trouvé deux applications de cheval de Troie dans Google Play qui installent Vultur. Ils disposaient d’installations combinées d’environ 5 000, ce qui a conduit les chercheurs à estimer que le nombre d’infections Vultur se compte par milliers. Contrairement à la plupart des logiciels malveillants Android, qui reposent sur des compte-gouttes tiers, Vultur utilise un compte-gouttes personnalisé qui s’appelle désormais Brunhilda.

“Ce compte-gouttes et Vultur sont tous deux développés par le même groupe d’acteurs menaçants”, ont écrit les chercheurs de ThreatFabric. « Le choix de développer son propre cheval de Troie privé, au lieu de louer des logiciels malveillants tiers, montre une forte motivation de ce groupe, associée au niveau global élevé de structure et d’organisation présent dans le bot ainsi que le code du serveur. »

Les chercheurs ont découvert que Brunhilda était utilisé dans le passé pour installer différents logiciels malveillants bancaires Android appelés Alien. Au total, les chercheurs estiment que Brunhilda a infecté plus de 30 000 appareils. Les chercheurs ont basé l’estimation sur des applications malveillantes précédemment disponibles sur le Play Store, certaines avec plus de 10 000 installations chacune, ainsi que sur des chiffres de marchés tiers.

Vultur est programmé pour enregistrer des écrans lorsque l’une des 103 applications bancaires ou de crypto-monnaie Android est en cours d’exécution au premier plan. L’Italie, l’Australie et l’Espagne sont les pays les plus ciblés par les établissements bancaires.

MenaceTissu

Outre les applications bancaires et de crypto-monnaie, le malware collecte également des informations d’identification pour Facebook, WhatsApp Messenger appartenant à Facebook, TikTok et Viber Messenger. La collecte des informations d’identification pour ces applications se fait par le biais d’un enregistrement de frappe traditionnel, bien que le message ThreatFabric n’explique pas pourquoi.

Alors que Google a supprimé toutes les applications Play Market connues pour contenir Brunhilda, les antécédents de la société suggèrent que de nouvelles applications trojanisées apparaîtront probablement. Les utilisateurs d’Android ne doivent installer que des applications qui fournissent des services utiles et, même dans ce cas, uniquement des applications d’éditeurs connus, dans la mesure du possible. Les gens doivent également prêter une attention particulière aux évaluations des utilisateurs et au comportement des applications pour détecter des signes de malveillance.



Source link