J’ai récemment rencontré un ciblage de botnet Android utilisateurs de smartphones qui effectuent des opérations bancaires dans des institutions financières au Moyen-Orient. Le bot mobile brut mais remarquablement efficace qui alimente toute cette opération se déguise en l’une des nombreuses applications bancaires en ligne, a infecté plus de 2 700 téléphones et a intercepté au moins 28 000 messages texte.
Le botnet – que j’ai affectueusement surnommé « Sandroid » – est livré avec des applications Android conçues pour ressembler à des modules mobiles d’authentification à deux facteurs pour diverses banques, y compris Banque de Riyad, SAAB (anciennement Saudi British Bank), AlAhliEn ligne (Banque Nationale du Commerce), Banque Al Rajhiet Banque nationale arabe.
La manière dont les applications sont initialement présentées aux victimes n’est pas claire, mais si de telles escroqueries précédentes sont une indication, elles sont probablement proposées après avoir infecté l’ordinateur de la victime avec un cheval de Troie bancaire voleur de mot de passe. De nombreuses banques envoient aux clients des SMS contenant des codes à usage unique qui sont utilisés pour compléter un nom d’utilisateur et un mot de passe lorsque le client se connecte au site Web de la banque. Et cette précaution exige bien sûr que les attaquants intéressés à compromettre ces comptes piratent également le téléphone de la victime potentielle.
Les chevaux de Troie bancaires, en particulier ceux qui ciblent les clients d’institutions financières en dehors des États-Unis, affichent souvent une fenêtre contextuelle de navigateur qui imite la banque et demande à l’utilisateur de télécharger une « application de sécurité » sur son téléphone mobile. Ces applications sont plutôt de faux programmes qui se contentent d’intercepter puis de relayer les messages SMS entrants de la victime au maître du botnet, qui peut ensuite utiliser le code avec le nom d’utilisateur et le mot de passe bancaires de la victime pour se connecter en tant que victime.
Ce botnet particulier semble être actif depuis au moins l’année dernière, et le logiciel malveillant mobile qui lui est associé a été documenté par les deux Symantec et Trend Micro. Le malware lui-même semble être fortement détecté par la plupart des produits antivirus sur le marché, mais encore une fois, il est probable que peu – voire aucun – de ces utilisateurs exécutent des applications antivirus sur leurs appareils mobiles.
De plus, cette fausse campagne bancaire semble avoir précédemment ciblé Facebookainsi que des banques en Australie et en Espagne, y compris Banque Caixa, Banque du Commonwealth, Banque nationale d’Australieet Banque Saint-Georges.
Le mécréant derrière cette campagne semble avoir fait peu pour cacher ses activités. Les mêmes informations de registre qui ont été utilisées pour enregistrer le domaine associé à ce botnet — funnygammi.com – a également été utilisé pour enregistrer les faux domaines bancaires qui ont livré ce logiciel malveillant, y compris alrajhiankapps.com, combankaddons.com, facebooksoft.net, caixadirecta.net, combankapps.com, nationalaustralia.orget stgeorgeaddons.com. Le greffier utilisé dans chacun de ces cas était Centre des noms Internet ukrainiens.
On me demande souvent si les gens devraient utiliser des produits antivirus mobiles. De mon point de vue, la plupart de ces applications malveillantes ne se contentent pas de s’installer ; ils obligent l’utilisateur à participer à la fraude. Garder votre appareil mobile exempt de logiciels malveillants implique de suivre certaines des mêmes étapes décrites dans mes outils pour un PC plus sûr et les amorces de 3 règles : Surtout, si vous n’êtes pas allé le chercher, ne l’installez pas ! Si vous possédez un appareil Android et souhaitez installer une application, faites vos devoirs avant d’installer le programme. Cela signifie passer quelques instants à rechercher l’application en question et ne pas installer d’applications dont la provenance est douteuse.
Cela dit, ce malware semble être bien détecté par les solutions antivirus mobiles. De nombreuses sociétés antivirus proposent des versions mobiles gratuites de leurs produits. Certains sont gratuits, et d’autres sont gratuits pour l’utilisation initiale – ils analyseront et supprimeront les logiciels malveillants gratuitement, mais factureront des abonnements annuels. Certaines des offres gratuites incluent MOY, Avast, Avira, Bitdefender, Dr WebESET, Fortinet, Chercher, Norton, Panda Cloud Antivirus, Sophosable Alarme de zone.
Incidemment, le numéro de téléphone mobile utilisé pour intercepter tous les messages texte est le +79154369077, ce qui remonte à un abonné à Moscou sur le Télésystèmes mobiles réseau.