Un malware Android distribué au Mexique vole des données d’identification financière

L’équipe de recherche McAfee Mobile Malware a identifié un logiciel malveillant ciblant le Mexique. Il se présente comme un outil de sécurité bancaire ou comme une application servant à signaler un DAB hors service. Dans les deux cas, le logiciel malveillant s’appuie sur le sentiment d’urgence suscité par les outils destinés à prévenir la fraude pour inciter ses cibles à les utiliser. Ce logiciel malveillant peut extorquer aux victimes les facteurs d’authentification indispensables pour accéder aux comptes qu’elles détiennent dans les établissements financiers ciblés au Mexique.

McAfee Mobile Security a identifié cette menace nommée Android/Banker.BT et ses variantes.

Comment ce logiciel malveillant se propage-t-il ?

Il est distribué par le biais d’une page de phishing qui fournit de véritables conseils de sécurité bancaire (copiés sur le site de la banque d’origine) et conseille le téléchargement d’applications malveillantes en les présentant comme des outils de sécurité ou des applications servant à signaler les DAB hors service. Cette menace est probablement aussi distribuée via une campagne de phishing par SMS. Il est également possible que les victimes soient directement contactées par téléphone par les escrocs, pratique courante en Amérique latine. Heureusement,  cette menace ne semble pas encore être présente sur Google Play.

Voici comment vous pouvez vous protéger

Pendant la pandémie, les banques ont adopté de nouveaux modes d’interaction avec leurs clients. Ces changements rapides ont rendu les clients plus enclins à accepter de nouvelles procédures et à installer de nouvelles applications pour s’adapter à la généralisation des interactions à distance. Face à ce constat, les cybercriminels ont imaginé de nouvelles escroqueries et des attaques de phishing plus crédibles que par le passé, auxquelles les clients sont plus vulnérables.

Heureusement, McAfee Mobile Security est capable de détecter cette nouvelle menace, connue sous le nom d’Android/Banker.BT. Pour vous protéger de cette menace et d’autres menaces similaires :

  • Utilisez des logiciels de sécurité sur vos appareils mobiles.
  • Réfléchissez à deux fois avant de télécharger et d’installer des applications suspectes, en particulier si elles demandent des autorisations d’écouteur de notifications ou de SMS.
  • Utilisez les boutiques d’applications officielles, sans toutefois leur accorder une confiance aveugle, car il n’est pas exclu que les logiciels malveillants soient également distribués par ces boutiques. Contrôlez les autorisations demandées, lisez les avis et recherchez les informations disponibles sur le développeur.
  • Utilisez des applications d’authentification à deux facteurs basées sur des jetons (matériel ou logiciel) plutôt que l’authentification par SMS.

Figure 1- Phishing malware distribution site that provides security tips

Vous souhaitez en savoir plus ? Voici une analyse approfondie de ce logiciel malveillant.

Figure 2- Malicious app introduction that try to lure users to provide their bank credentials

Figure 1 : Site de phishing offrant des conseils de sécurité utilisé pour la distribution de logiciels malveillants

Comportement : le site guide la victime pour l’amener à fournir ses informations d’identification

Une fois l’application malveillante installée et lancée, elle affiche un message en espagnol expliquant la proposition fallacieuse de l’application :

– Outil de signalement des mouvements frauduleux qui crée un sentiment d’urgence :

Figure 2- Malicious app introduction that try to lure users to provide their bank credentials

Figure 2 : Page d’accueil de l’application malveillante qui tente d’inciter les utilisateurs à fournir leurs informations d’identification bancaires

« L’établissement ‘Nom de banque’ a créé pour vous un outil qui vous permet de bloquer n’importe quelle transaction suspecte. Toutes les opérations répertoriées par l’application sont toujours en attente. Si vous ne bloquez pas les mouvements que vous ne reconnaissez pas en moins de 24 heures, votre compte sera automatiquement débité.

À la fin du processus de blocage, vous recevrez un SMS contenant le détail des opérations bloquées. »

– Dans le cas du faux outil de signalement de DAB hors service permettant de demander une nouvelle carte de crédit dans le cadre de la pandémie, un texte similaire trompe les utilisateurs en leur donnant un faux sentiment de sécurité :

Figure 3- Malicious app introduction of ATM reporting variant that uses the Covid-19 pandemic as pretext to lure users into provide their bank credentials

Figure 3 : Page d’accueil d’une variante de l’application malveillante permettant de signaler un DAB hors service, qui utilise la pandémie de COVID-19 comme prétexte pour inciter les utilisateurs à fournir leurs identifiants bancaires

« Cette nouvelle option a été créée en tant que mesure sanitaire pour répondre à la pandémie de COVID-19. Vous recevrez un identifiant par SMS pour votre signalement et vous pourrez ensuite demander votre nouvelle carte dans n’importe quelle agence ou la recevoir gratuitement à votre domicile. Alerte ! Nous ne demanderons jamais vos données confidentielles telles que votre PIN ou votre CVV ». Cette phrase renforce la crédibilité de l’application puisqu’elle affirme qu’elle ne demandera pas certaines données sensibles ; toutefois, elle demandera les identifiants de banque en ligne.

Si les victimes appuient sur « Ingresar » (« Accéder »), le cheval de Troie bancaire demande des autorisations par SMS et lance une activité permettant de saisir le nom d’utilisateur ou le numéro de compte, puis le mot de passe. En arrière-plan, le logiciel malveillant transmet le mot de passe (« clave » en espagnol) au serveur du criminel sans vérification de la validité des informations d’identification fournies ni redirection vers le site bancaire d’origine, contrairement à de nombreux autres chevaux de Troie bancaires.

Figure 4- snippet of user entered password exfiltration

Figure 4 : Extrait du code de récupération du mot de passe saisi par l’utilisateur

Enfin, une fausse liste de transactions est affichée pour inciter l’utilisateur à les bloquer dans le cadre de l’escroquerie. À ce stade, les escrocs disposent déjà des données de connexion de la victime et ont accès aux messages SMS de son appareil, ce qui leur permet de voler le deuxième facteur d’authentification.

Figure 5- Fake list of fraudulent transactions

Figure 5 : Fausse liste de transactions frauduleuses

Dans le cas du faux outil destiné à demander une nouvelle carte, l’application affiche un message à la fin de l’opération : « Nous avons mis en place cette mesure sanitaire dans le cadre de la pandémie de COVID-19 et nous vous invitons prendre connaissance de nos conseils anti-fraude. Vous y apprendrez comment protéger votre compte ».

Figure 6- Final view after the malware already obtained bank credentials reinforcing the concept that this application is a tool created under the covid-19 context.

Figure 6 : Écran final affiché après l’obtention des informations d’identification bancaires par le logiciel malveillant, qui renforce l’idée que cette application est un outil créé dans le contexte de la pandémie de COVID-19.

En arrière-plan, le logiciel malveillant contacte le serveur de commande et de contrôle (C2) hébergé dans le même domaine que celui utilisé pour la distribution et envoie les informations d’identification et tous les messages SMS de l’utilisateur via https sous forme de paramètres de requête (dans l’URL). Par conséquent, les données sensibles peuvent être stockées dans les journaux du serveur web en plus de la destination finale de l’attaquant. Généralement, les logiciels malveillants de ce type ne traitent pas sérieusement ces données, et il n’est pas surprenant que ces informations fuitent ou soient interceptées par d’autres groupes de criminels, ce qui aggrave encore la menace pour les victimes. La figure 8 présente une capture d’écran partielle d’une page exposée qui contient la structure permettant d’afficher les données volées.

Figure 7 - Malicious method related to exfiltration of all SMS Messages from the victim's device.

Figure 7 : Méthode malveillante associée à l’exfiltration de tous les messages SMS de l’appareil de la victime.

En-têtes du tableau : Date, Expéditeur, Corps du message, Utilisateur, Mot de passe, Id :

Figure 8 – Exposed page in the C2 that contains a table to display SMS messages captured from the infected devices.

Figure 8 : Page exposée sur le serveur C2 contenant un tableau permettant d’afficher les messages SMS capturés sur les appareils infectés.

Ce logiciel malveillant est intéressant, car il s’agit d’une arnaque développée à partir de zéro qui n’est pas liée à des structures de chevaux de Troie bancaires bien connus ou plus performants commercialisés au marché noir entre cybercriminels. Il s’agit clairement d’un développement local susceptible d’évoluer vers une menace plus sérieuse. En effet, le code décompilé montre que la classe de services d’accessibilité est présente, mais non implémentée, ce qui laisse à penser que les auteurs de ce logiciel malveillant tentent d’imiter le comportement de familles de logiciels malveillants plus matures. En outre, le logiciel malveillant n’est doté d’aucune protection pour éviter l’analyse, la détection ou la décompilation, ce qui indique qu’il se trouve à un stade précoce de son développement.

IoC

SHA256 :

  • 84df7daec93348f66608d6fe2ce262b7130520846da302240665b3b63b9464f9
  • b946bc9647ccc3e5cfd88ab41887e58dc40850a6907df6bb81d18ef0cb340997
  • 3f773e93991c0a4dd3b8af17f653a62f167ebad218ad962b9a4780cb99b1b7e2
  • 1deedb90ff3756996f14ddf93800cd8c41a927c36ac15fcd186f8952ffd07ee0

Domaines :

  • https[://]appmx2021.com
FacebookLinkedInTwitterEmailCopy Link

Restez informé

Suivez-nous pour rester au courant des actualités de McAfee et des dernières menaces pour la sécurité mobile et grand public.

FacebookTwitterInstagramLinkedINYouTubeRSS

Autres articles de McAfee Labs

Back to top