Shopping cart

Magazines cover a wide array subjects, including but not limited to fashion, lifestyle, health, politics, business, Entertainment, sports, science,

Breaking news :
Nouveaux chevaux de Troie Android ciblent les données financières via des techniques d’évasion sophistiquées
Telex: Pasqal disponible sur Google Cloud, Klarna ajuste sa stratégie IA, Vol de données clients chez Mark & Spencer
Vulnérabilité critique du noyau Ubuntu permettant l’escalade de privilèges et l’accès root

Nouveaux chevaux de Troie Android ciblent les données financières via des techniques d’évasion sophistiquées

Des chercheurs en sécurité ont identifié deux souches dangereuses de malware Android—BankBot-YNRK et DeliveryRAT—qui volent activement des informations financières sur les appareils mobiles infectés grâce à des méthodes avancées d’évitement de détection.

BankBot-YNRK : Un cheval de Troie bancaire intelligent

L’analyse de la société de cybersécurité CYFIRMA portant sur trois échantillons de BankBot-YNRK révèle un cheval de Troie doté de capacités sophistiquées de reconnaissance d’environnement. Le malware effectue plusieurs vérifications avant son exécution, recherchant des environnements virtualisés et vérifiant les informations du fabricant de l’appareil pour confirmer qu’il fonctionne sur du matériel authentique plutôt que sur des outils d’analyse de sécurité.

Le cheval de Troie montre un intérêt particulier pour certains types d’appareils, vérifiant s’il fonctionne sur des appareils Oppo exécutant ColorOS, des téléphones Google Pixel ou des modèles Samsung. Ce ciblage sélectif permet au malware d’optimiser ses opérations pour des configurations d’appareils spécifiques tout en restant dormant sur les modèles non pris en charge.

Distribution et infection initiale

BankBot-YNRK se propage via des packages APK malveillants se faisant passer pour « IdentitasKependudukanDigital.apk »—une fausse version de l’application officielle d’identité numérique indonésienne. Les noms de packages identifiés incluent :

  • com.westpacb4a.payqingynrk1b4a
  • com.westpacf78.payqingynrk1f78
  • com.westpac91a.payqingynrk191a

Dès l’installation, le cheval de Troie commence immédiatement à collecter des informations sur l’appareil tout en coupant tous les flux audio—musique, sonneries et notifications—pour empêcher les victimes de remarquer les alertes entrantes concernant une activité suspecte.

Infrastructure de commande et capacités

Après avoir établi une connexion avec son serveur de commande à ping.ynrkone[.]top, le malware invite les utilisateurs à activer les services d’accessibilité sous de faux prétextes. Cela accorde au cheval de Troie un contrôle étendu sur l’appareil, bien que cette tactique ne fonctionne que sur Android 13 et les versions antérieures. Les mesures de sécurité améliorées d’Android 14 empêchent les applications de demander ou d’accorder automatiquement des autorisations via les fonctionnalités d’accessibilité.

BankBot-YNRK maintient sa persistance via le service JobScheduler d’Android, garantissant qu’il survive aux redémarrages de l’appareil. Le malware prend en charge un ensemble de commandes étendu qui lui permet de :

  • Acquérir des privilèges d’administrateur de l’appareil
  • Gérer les applications installées
  • Rediriger les appels entrants à l’aide de codes MMI
  • Capturer des photos à distance
  • Exécuter des opérations sur les fichiers
  • Extraire les contacts, les messages SMS, les données de localisation, les listes d’applications et le contenu du presse-papiers

Fonctionnalités avancées de fraude financière

Le cheval de Troie emploie plusieurs techniques sophistiquées pour le vol financier :

Usurpation d’application : Le malware peut se faire passer pour Google News en modifiant son nom et son icône affichés, puis en chargeant news.google[.]com via un composant WebView pour paraître légitime.

Reconstruction d’écran : En capturant le contenu de l’écran, BankBot-YNRK peut reconstruire l’interface utilisateur des applications bancaires, permettant un vol précis des identifiants.

Ciblage des cryptomonnaies : Le cheval de Troie automatise les interactions avec les applications de portefeuille de cryptomonnaies à partir d’une liste prédéfinie, utilisant les services d’accessibilité pour recueillir des informations sensibles et exécuter des transactions non autorisées.

Focus sur les applications bancaires : Le malware maintient une liste cible de 62 applications financières, affichant de faux messages de vérification pour distraire les utilisateurs pendant qu’il demande des autorisations supplémentaires et s’établit comme administrateur de l’appareil.

DeliveryRAT : Ingénierie sociale via l’usurpation de services

La société russe de cybersécurité F6 a documenté une variante mise à jour de DeliveryRAT ciblant les utilisateurs Android russes depuis la mi-2024. Le malware fonctionne comme une offre de malware-en-tant-que-service via un bot Telegram appelé Bonvi Team, fournissant aux clients soit des fichiers APK directs, soit des liens vers des pages de phishing.

Méthodes de distribution

Les attaquants contactent les victimes potentielles via des plateformes de messagerie comme Telegram, utilisant des scénarios d’ingénierie sociale incluant :

  • Faux suivi de commande pour des achats inexistants sur des places de marché
  • Fausses notifications de livraison de colis
  • Fausses opportunités d’emploi à distance

Quelle que soit l’approche initiale, les victimes sont convaincues de télécharger et d’installer l’application malveillante.

Caractéristiques opérationnelles

Une fois installé, DeliveryRAT demande l’accès aux notifications et des exemptions d’optimisation de la batterie, lui permettant de collecter des données sensibles tout en fonctionnant en continu en arrière-plan sans être interrompu par le système. Le cheval de Troie peut accéder aux messages SMS et aux journaux d’appels tout en masquant son icône du lanceur de l’appareil, rendant la suppression difficile pour les utilisateurs moins techniques.

Certaines versions de DeliveryRAT incluent des capacités d’attaque par déni de service distribué, inondant les URL cibles de requêtes simultanées ou incitant les utilisateurs à scanner des codes QR malveillants pour faciliter une compromission supplémentaire.

La campagne plus large de vol de données de paiement NFC

Ces découvertes coïncident avec l’identification par Zimperium de plus de 760 applications Android malveillantes actives depuis avril 2024 qui exploitent la technologie de communication en champ proche pour voler des informations de paiement. Ces fausses applications financières convainquent les utilisateurs de les définir comme méthodes de paiement par défaut tout en exploitant l’émulation de carte basée sur l’hôte d’Android pour capturer les données de carte de crédit sans contact.

Les informations volées sont transférées soit vers des canaux Telegram, soit vers des applications de tapotement spécialisées contrôlées par les attaquants, qui utilisent immédiatement les données pour retirer des fonds ou effectuer des achats aux terminaux de point de vente.

La campagne a usurpé l’identité d’environ 20 institutions financières, ciblant principalement les banques russes et les services financiers, avec des attaques supplémentaires affectant des organisations au Brésil, en Pologne, en République tchèque et en Slovaquie.

Recommandations de protection

Les utilisateurs peuvent se protéger contre ces menaces en :

  • Ne téléchargeant des applications que depuis les magasins d’applications officiels
  • Examinant attentivement les demandes d’autorisation des applications
  • Mettant à jour vers Android 14 ou une version ultérieure pour des fonctionnalités de sécurité améliorées
  • Évitant de cliquer sur des liens ou de télécharger des fichiers provenant de messages non sollicités
  • Examinant régulièrement les applications installées et en supprimant celles qui ne sont pas familières
  • Se méfiant des applications demandant des autorisations de service d’accessibilité

Les organisations devraient mettre en œuvre des solutions de détection des menaces mobiles et éduquer les utilisateurs sur les tactiques d’ingénierie sociale utilisées pour distribuer les malwares mobiles.

cybersecurite.com
Powered by  GDPR Cookie Compliance
Résumé de la politique de confidentialité

Ce site utilise des cookies afin que nous puissions vous fournir la meilleure expérience utilisateur possible. Les informations sur les cookies sont stockées dans votre navigateur et remplissent des fonctions telles que vous reconnaître lorsque vous revenez sur notre site Web et aider notre équipe à comprendre les sections du site que vous trouvez les plus intéressantes et utiles.