L’équipe de recherche McAfee Mobile Malware a identifié un logiciel malveillant ciblant le Mexique. Il se présente comme un outil de sécurité bancaire ou comme une application servant à signaler un DAB hors service. Dans les deux cas, le logiciel malveillant s’appuie sur le sentiment d’urgence suscité par les outils destinés à prévenir la fraude pour inciter ses cibles à les utiliser. Ce logiciel malveillant peut extorquer aux victimes les facteurs d’authentification indispensables pour accéder aux comptes qu’elles détiennent dans les établissements financiers ciblés au Mexique.
McAfee Mobile Security a identifié cette menace nommée Android/Banker.BT et ses variantes.
Comment ce logiciel malveillant se propage-t-il ?
Il est distribué par le biais d’une page de phishing qui fournit de véritables conseils de sécurité bancaire (copiés sur le site de la banque d’origine) et conseille le téléchargement d’applications malveillantes en les présentant comme des outils de sécurité ou des applications servant à signaler les DAB hors service. Cette menace est probablement aussi distribuée via une campagne de phishing par SMS. Il est également possible que les victimes soient directement contactées par téléphone par les escrocs, pratique courante en Amérique latine. Heureusement, cette menace ne semble pas encore être présente sur Google Play.
Voici comment vous pouvez vous protéger
Pendant la pandémie, les banques ont adopté de nouveaux modes d’interaction avec leurs clients. Ces changements rapides ont rendu les clients plus enclins à accepter de nouvelles procédures et à installer de nouvelles applications pour s’adapter à la généralisation des interactions à distance. Face à ce constat, les cybercriminels ont imaginé de nouvelles escroqueries et des attaques de phishing plus crédibles que par le passé, auxquelles les clients sont plus vulnérables.
Heureusement, McAfee Mobile Security est capable de détecter cette nouvelle menace, connue sous le nom d’Android/Banker.BT. Pour vous protéger de cette menace et d’autres menaces similaires :
- Utilisez des logiciels de sécurité sur vos appareils mobiles.
- Réfléchissez à deux fois avant de télécharger et d’installer des applications suspectes, en particulier si elles demandent des autorisations d’écouteur de notifications ou de SMS.
- Utilisez les boutiques d’applications officielles, sans toutefois leur accorder une confiance aveugle, car il n’est pas exclu que les logiciels malveillants soient également distribués par ces boutiques. Contrôlez les autorisations demandées, lisez les avis et recherchez les informations disponibles sur le développeur.
- Utilisez des applications d’authentification à deux facteurs basées sur des jetons (matériel ou logiciel) plutôt que l’authentification par SMS.
Vous souhaitez en savoir plus ? Voici une analyse approfondie de ce logiciel malveillant.
Comportement : le site guide la victime pour l’amener à fournir ses informations d’identification
Une fois l’application malveillante installée et lancée, elle affiche un message en espagnol expliquant la proposition fallacieuse de l’application :
– Outil de signalement des mouvements frauduleux qui crée un sentiment d’urgence :
« L’établissement ‘Nom de banque’ a créé pour vous un outil qui vous permet de bloquer n’importe quelle transaction suspecte. Toutes les opérations répertoriées par l’application sont toujours en attente. Si vous ne bloquez pas les mouvements que vous ne reconnaissez pas en moins de 24 heures, votre compte sera automatiquement débité.
À la fin du processus de blocage, vous recevrez un SMS contenant le détail des opérations bloquées. »
– Dans le cas du faux outil de signalement de DAB hors service permettant de demander une nouvelle carte de crédit dans le cadre de la pandémie, un texte similaire trompe les utilisateurs en leur donnant un faux sentiment de sécurité :
« Cette nouvelle option a été créée en tant que mesure sanitaire pour répondre à la pandémie de COVID-19. Vous recevrez un identifiant par SMS pour votre signalement et vous pourrez ensuite demander votre nouvelle carte dans n’importe quelle agence ou la recevoir gratuitement à votre domicile. Alerte ! Nous ne demanderons jamais vos données confidentielles telles que votre PIN ou votre CVV ». Cette phrase renforce la crédibilité de l’application puisqu’elle affirme qu’elle ne demandera pas certaines données sensibles ; toutefois, elle demandera les identifiants de banque en ligne.
Si les victimes appuient sur « Ingresar » (« Accéder »), le cheval de Troie bancaire demande des autorisations par SMS et lance une activité permettant de saisir le nom d’utilisateur ou le numéro de compte, puis le mot de passe. En arrière-plan, le logiciel malveillant transmet le mot de passe (« clave » en espagnol) au serveur du criminel sans vérification de la validité des informations d’identification fournies ni redirection vers le site bancaire d’origine, contrairement à de nombreux autres chevaux de Troie bancaires.
Enfin, une fausse liste de transactions est affichée pour inciter l’utilisateur à les bloquer dans le cadre de l’escroquerie. À ce stade, les escrocs disposent déjà des données de connexion de la victime et ont accès aux messages SMS de son appareil, ce qui leur permet de voler le deuxième facteur d’authentification.
Dans le cas du faux outil destiné à demander une nouvelle carte, l’application affiche un message à la fin de l’opération : « Nous avons mis en place cette mesure sanitaire dans le cadre de la pandémie de COVID-19 et nous vous invitons prendre connaissance de nos conseils anti-fraude. Vous y apprendrez comment protéger votre compte ».
En arrière-plan, le logiciel malveillant contacte le serveur de commande et de contrôle (C2) hébergé dans le même domaine que celui utilisé pour la distribution et envoie les informations d’identification et tous les messages SMS de l’utilisateur via https sous forme de paramètres de requête (dans l’URL). Par conséquent, les données sensibles peuvent être stockées dans les journaux du serveur web en plus de la destination finale de l’attaquant. Généralement, les logiciels malveillants de ce type ne traitent pas sérieusement ces données, et il n’est pas surprenant que ces informations fuitent ou soient interceptées par d’autres groupes de criminels, ce qui aggrave encore la menace pour les victimes. La figure 8 présente une capture d’écran partielle d’une page exposée qui contient la structure permettant d’afficher les données volées.
En-têtes du tableau : Date, Expéditeur, Corps du message, Utilisateur, Mot de passe, Id :
Ce logiciel malveillant est intéressant, car il s’agit d’une arnaque développée à partir de zéro qui n’est pas liée à des structures de chevaux de Troie bancaires bien connus ou plus performants commercialisés au marché noir entre cybercriminels. Il s’agit clairement d’un développement local susceptible d’évoluer vers une menace plus sérieuse. En effet, le code décompilé montre que la classe de services d’accessibilité est présente, mais non implémentée, ce qui laisse à penser que les auteurs de ce logiciel malveillant tentent d’imiter le comportement de familles de logiciels malveillants plus matures. En outre, le logiciel malveillant n’est doté d’aucune protection pour éviter l’analyse, la détection ou la décompilation, ce qui indique qu’il se trouve à un stade précoce de son développement.
IoC
SHA256 :
- 84df7daec93348f66608d6fe2ce262b7130520846da302240665b3b63b9464f9
- b946bc9647ccc3e5cfd88ab41887e58dc40850a6907df6bb81d18ef0cb340997
- 3f773e93991c0a4dd3b8af17f653a62f167ebad218ad962b9a4780cb99b1b7e2
- 1deedb90ff3756996f14ddf93800cd8c41a927c36ac15fcd186f8952ffd07ee0
Domaines :
- https[://]appmx2021.com
Restez informé
Suivez-nous pour rester au courant des actualités de McAfee et des dernières menaces pour la sécurité mobile et grand public.
