Le cheval de Troie bancaire Android BrazKing est de retour avec des superpositions bancaires dynamiques et une nouvelle astuce de mise en œuvre qui lui permet de fonctionner sans demander d’autorisations risquées.
Un nouvel échantillon de malware a été analysé par des chercheurs d’IBM Trusteer qui l’ont trouvé en dehors du Play Store, sur des sites où les gens se retrouvent après avoir reçu des messages de smishing (SMS).
Ces sites HTTPS avertissent la victime potentielle qu’ils utilisent une version Android obsolète et proposent un APK qui les mettra prétendument à jour vers la dernière version.
Source : IBM
Ne demander qu’une seule autorisation
Si l’utilisateur approuve les « téléchargements à partir de sources inconnues », le logiciel malveillant est déposé sur l’appareil et demande l’accès au « service d’accessibilité ».
Cette autorisation est utilisée à mauvais escient pour capturer des captures d’écran et des frappes au clavier sans demander d’autorisations supplémentaires qui risqueraient d’éveiller des soupçons.
Plus précisément, le service d’accessibilité est utilisé par BrazKing pour l’activité malveillante suivante :
- Disséquer l’écran par programmation au lieu de prendre des captures d’écran au format image. Cela peut être fait par programme mais sur un appareil non rooté qui nécessiterait l’approbation explicite de l’utilisateur.
- Capacités de l’enregistreur de frappe en lisant les vues à l’écran.
- Capacités RAT—BrazKing peut manipuler l’application bancaire cible en appuyant sur des boutons ou en saisissant du texte.
- Lisez les SMS sans l’autorisation « android.permission.READ_SMS » en lisant les messages texte qui s’affichent à l’écran. Cela peut donner aux acteurs l’accès aux codes 2FA.
- Lisez les listes de contacts sans l’autorisation « android.permission.READ_CONTACTS » en lisant les contacts sur l’écran « Contacts ».
À partir d’Android 11, Google a classé la liste des applications installées comme des informations sensibles, de sorte que tout logiciel malveillant qui tente de la récupérer est signalé par Play Protect comme malveillant.
Il s’agit d’un nouveau problème pour tous les chevaux de Troie de superposition bancaire qui doivent déterminer quelles applications bancaires sont installées sur l’appareil infecté pour servir les écrans de connexion correspondants.
BrazKing n’utilise plus la demande d’API ‘getinstalledpackages’ comme avant, mais utilise à la place la fonction de dissection d’écran pour voir quelles applications sont installées sur l’appareil infecté.
En ce qui concerne la superposition, BrazKing le fait désormais sans l’autorisation « System_Alert_Window », il ne peut donc pas superposer un faux écran sur l’application d’origine comme le font les autres chevaux de Troie.
Au lieu de cela, il charge le faux écran en tant qu’URL du serveur de l’attaquant dans une fenêtre d’affichage Web, ajouté à partir du service d’accessibilité. Cela couvre l’application et toutes ses fenêtres, mais n’en force pas la sortie.
Source : IBM
Lors de la détection de la connexion à une banque en ligne, au lieu d’afficher des superpositions intégrées, le malware se connectera désormais au serveur de commande et de contrôle pour recevoir la superposition de connexion correcte à afficher.
Ce système de superposition dynamique permet aux acteurs de la menace de voler plus facilement les informations d’identification pour un plus large éventail de banques. La diffusion des superpositions à partir des serveurs de l’attaquant leur permet également de mettre à jour les écrans de connexion si nécessaire pour coïncider avec les modifications apportées aux applications ou sites bancaires légitimes ou d’ajouter la prise en charge de nouvelles banques.
Obfuscation et résistance à la suppression
La nouvelle version de BrazKing protège les ressources internes en appliquant une opération XOR à l’aide d’une clé codée en dur, puis les encode également en Base64.
Les analystes peuvent rapidement inverser ces étapes, mais ils aident toujours le malware à passer inaperçu lorsqu’il est imbriqué dans l’appareil de la victime.
Source : IBM
Si l’utilisateur tente de supprimer le logiciel malveillant, il appuie rapidement sur les boutons « Précédent » ou « Accueil » pour empêcher l’action.
La même astuce est utilisée lorsque l’utilisateur essaie d’ouvrir une application antivirus, dans l’espoir d’analyser et de supprimer le logiciel malveillant dans l’outil de sécurité.
L’évolution de BrazKing montre que les auteurs de logiciels malveillants s’adaptent rapidement pour fournir des versions plus furtives de leurs outils à mesure que la sécurité d’Android se renforce.
La possibilité de récupérer les codes 2FA, les informations d’identification et de prendre des captures d’écran sans accumuler les autorisations rend le cheval de Troie beaucoup plus puissant qu’auparavant, alors soyez très prudent avec les téléchargements d’APK en dehors du Play Store.
Selon le rapport IBM, BrazKing semble être exploité par des groupes de menaces locaux, car il circule sur des sites Web lusophones.