Les campagnes de logiciels malveillants distribuant des chevaux de Troie Android qui volent les identifiants bancaires en ligne ont infecté près de 300 000 appareils via des applications malveillantes diffusées via le Play Store de Google.
Les chevaux de Troie bancaires Android livrés sur des appareils compromis tentent de voler les informations d’identification des utilisateurs lorsqu’ils se connectent à une banque en ligne ou à des applications de crypto-monnaie. Le vol d’informations d’identification est généralement effectué à l’aide de fausses superpositions de formulaires de connexion bancaires affichées au-dessus des écrans de connexion des applications légitimes.
Les informations d’identification volées sont ensuite renvoyées aux serveurs de l’attaquant, où elles sont collectées pour être vendues à d’autres acteurs malveillants ou utilisées pour voler de la crypto-monnaie et de l’argent sur les comptes des victimes.
Évolution des tactiques pour échapper à la détection
Dans un nouveau rapport de ThreatFabric, les chercheurs expliquent comment ils ont découvert quatre campagnes de compte-gouttes différentes de logiciels malveillants distribuant des chevaux de Troie bancaires sur le Google Play Store.
Bien que les acteurs malveillants infiltrant le Google Play Store avec des chevaux de Troie bancaires Android ne soient pas nouveaux, les récents changements apportés aux politiques de Google et une police accrue ont contraint les acteurs malveillants à faire évoluer leurs tactiques pour échapper à la détection.
Cette évolution comprend la création de petites applications d’aspect réaliste qui se concentrent sur des thèmes communs tels que la forme physique, la crypto-monnaie, les codes QR et la numérisation de PDF pour inciter les utilisateurs à installer l’application. Ensuite, pour ajouter plus de légitimité aux applications, les acteurs de la menace créent des sites Web qui correspondent au thème de l’application pour aider à passer les avis de Google.
De plus, ThreatFabric a vu ces applications n’être distribuées que dans des régions spécifiques ou à des dates ultérieures pour échapper davantage à la détection par Google et les fournisseurs d’antivirus.
« Ce contrôle de Google a obligé les acteurs à trouver des moyens de réduire considérablement l’empreinte des applications de compte-gouttes. En plus des efforts améliorés de code malveillant, les campagnes de distribution de Google Play sont également plus raffinées que les campagnes précédentes », expliquent les chercheurs de ThreatFabric dans leur nouveau rapport.
« Par exemple, en introduisant de petites mises à jour de codes malveillants soigneusement planifiées sur une plus longue période dans Google Play, ainsi qu’en arborant un backend compte-gouttes C2 pour correspondre pleinement au thème de l’application compte-gouttes (par exemple un site Web de fitness fonctionnel pour une application axée sur l’entraînement) . »
Cependant, une fois ces applications « dropper » installées, elles communiqueront silencieusement avec le serveur de l’acteur menaçant pour recevoir des commandes. Lorsqu’il est prêt à distribuer le cheval de Troie bancaire, le serveur de l’acteur de la menace demandera à l’application installée d’effectuer une fausse « mise à jour » qui « supprime » et lance le logiciel malveillant sur l’appareil Android.
Source : ThreatFabric
16 applications infectent 300 000 appareils
Depuis juillet 2021, ThreatFabric propose à ces fausses applications de supprimer quatre chevaux de Troie bancaires différents nommés « Alien », « Hydra », « Ermac » et « Anatsa » à travers seize applications différentes.
Source : ThreatFabric
Les applications « compte-gouttes » connues pour être utilisées lors de ces campagnes de diffusion de logiciels malveillants sont :
- Authentificateur à deux facteurs
- Garde de protection
- QR CreatorScanner
- Scanner maître
- Scanner QR 2021
- Scanner QR
- Scanner de documents PDF – Numérisation vers PDF
- Scanner de documents PDF
- Scanner de documents PDF gratuit
- CryptoTracker
- Entraîneur de gym et fitness
Les autres applications malveillantes installées par les compte-gouttes ci-dessus et leurs chevaux de Troie bancaires associés sont :
- Master Scanner Live (cheval de Troie Alien)
- Entraîneur de gym et fitness (cheval de Troie Alien)
- PDF AI : RECONNAISSANCE DE TEXTE (cheval de Troie Anatsa)
- QR CreatorScanner (cheval de Troie Hydra)
- QR CreatorScanner (cheval de Troie Ermac)
Au cours de ces quatre mois d’activité malveillante, ThreatFrabric a découvert que les compte-gouttes avaient été installés 300 000 fois, certains compte-gouttes individuels étant installés plus de 50 000 fois.
Le nombre de banques, d’applications de transfert d’argent, d’échanges de crypto-monnaie, de portefeuilles de crypto-monnaie et de services de messagerie est impressionnant, avec environ 537 sites en ligne et applications mobiles ciblés pour le vol d’identifiants.
Les organisations ciblées incluent Gmail, Chase, Citibank, HSBC, Coinbase, Kraken, Binance, KuCoin, CashApp, Zelle, TrustWallet, MetaMask, etc.
Google a depuis supprimé toutes ces applications malveillantes du Play Store et vous devez également les supprimer immédiatement de votre appareil Android si l’une d’entre elles est installée.
Si vous avez installé l’une des applications ci-dessus, vous devez la supprimer immédiatement de votre appareil Android.
De plus, en raison de l’évolution des techniques utilisées par les développeurs de logiciels malveillants Android, les utilisateurs doivent faire plus attention aux autorisations demandées par les applications et bloquer l’installation si elles semblent trop larges.