Une nouvelle souche de malware Android a été repérée dans la nature ciblant les clients des banques en ligne et des portefeuilles de crypto-monnaie en Espagne et en Italie, quelques semaines seulement après qu’une opération coordonnée d’application de la loi a démantelé FluBot. Le cheval de Troie voleur d’informations, nommé MaliBot par F5 Labs, est aussi riche en fonctionnalités que ses homologues, ce qui lui permet de voler des informations d’identification et des cookies, de contourner les codes d’authentification multifacteur (MFA) et d’abuser du service d’accessibilité d’Android pour surveiller l’écran de l’appareil de la victime. MaliBot est connu pour se déguiser principalement en applications d’extraction de crypto-monnaie telles que Mining X ou The CryptoApp qui sont distribuées via des sites Web frauduleux conçus pour inciter les visiteurs potentiels à les télécharger. Il tire également une autre feuille du livre de jeu du cheval de Troie bancaire mobile en ce sens qu’il utilise le smishing comme vecteur de distribution pour faire proliférer le malware en accédant aux contacts d’un smartphone infecté et en envoyant des messages SMS contenant des liens vers le malware. « Le système de commande et de contrôle (C2) de MaliBot se trouve en Russie et semble utiliser les mêmes serveurs que ceux utilisés pour distribuer le malware Sality », a déclaré Dor Nizar, chercheur chez F5 Labs. « Il s’agit d’une refonte fortement modifiée du logiciel malveillant SOVA, avec des fonctionnalités, des cibles, des serveurs C2, des domaines et des schémas de conditionnement différents. »

SOVA (qui signifie « hibou » en russe), qui a été détecté pour la première fois en août 2021, se distingue par sa capacité à mener des attaques par superposition, qui fonctionnent en affichant une page frauduleuse à l’aide de WebView avec un lien fourni par le serveur C2 si une victime ouvre un application bancaire incluse dans sa liste de cibles actives. Certaines des banques ciblées par MaliBot utilisant cette approche incluent UniCredit, Santander, CaixaBank et CartaBCC. Le service d’accessibilité est un service d’arrière-plan exécuté sur les appareils Android pour aider les utilisateurs handicapés. Il a longtemps été exploité par les logiciels espions et les chevaux de Troie pour capturer le contenu de l’appareil et intercepter les informations d’identification saisies par des utilisateurs sans méfiance sur d’autres applications. En plus de pouvoir siphonner les mots de passe et les cookies du compte Google de la victime, le malware est conçu pour balayer les codes 2FA de l’application Google Authenticator ainsi que pour exfiltrer des informations sensibles telles que les soldes totaux et les phrases de départ des applications Binance et Trust Wallet.

De plus, Malibot est capable d’armer son accès à l’API d’accessibilité pour vaincre les méthodes d’authentification à deux facteurs (2FA) de Google, telles que les invites Google, même dans les scénarios où une tentative est faite pour se connecter aux comptes en utilisant les informations d’identification volées de un appareil jusqu’alors inconnu. « La polyvalence du logiciel malveillant et le contrôle qu’il donne aux attaquants sur l’appareil signifient qu’il pourrait, en principe, être utilisé pour un éventail d’attaques plus large que le vol d’informations d’identification et de crypto-monnaie », ont déclaré les chercheurs. « En fait, toute application qui utilise WebView est susceptible de se faire voler les identifiants et les cookies des utilisateurs. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *