Le dernier logiciel malveillant Android Bank-Fraud utilise une tactique intelligente pour voler des informations d’identification
Tero Vesalainen / Shutterstock.com
Les pirates, malheureusement, proposent toujours de nouvelles façons intelligentes de voler ou d’accéder à des informations sécurisées. Certains logiciels malveillants Android récemment détectés, surnommés Vultur, utilisent une nouvelle méthode effrontée pour collecter les identifiants de connexion pour plus de 100 applications bancaires et cryptographiques.
Le malware Trojan d’accès à distance (RAT), Vultur, tire son nom de la société de sécurité basée à Amsterdam ThreatFabric. Il utilise une véritable implémentation de partage d’écran VNC pour enregistrer l’écran d’un appareil, le journal des clés et tout refléter sur le serveur de l’attaquant. Les utilisateurs entrent sans le savoir leurs informations d’identification dans ce qu’ils croient être une application de confiance et les attaquants récoltent ensuite les informations, se connectent aux applications sur un appareil séparé et retirent l’argent.
Cette méthode d’enregistrement d’écran est différente des précédents chevaux de Troie bancaires Android, qui reposaient sur une stratégie de superposition HTML. Vulture s’appuie également fortement sur l’abus des services d’accessibilité sur le système d’exploitation de l’appareil pour obtenir les autorisations nécessaires qui lui permettront d’accéder à ce dont il a besoin pour exécuter avec succès la collecte des informations d’identification.
Dans le rapport de ThreatFabric, nous avons appris que les acteurs de la menace ont pu collecter une liste des applications ciblées par Vulture, qui ont été diffusées via le Google Play Store. L’Italie, l’Espagne et l’Australie étaient les régions qui comptaient le plus grand nombre d’institutions bancaires touchées par Vultur. Plusieurs portefeuilles cryptographiques ont également été ciblés.
"Les menaces bancaires sur la plate-forme mobile ne reposent plus uniquement sur des attaques par superposition bien connues, mais évoluent vers des logiciels malveillants de type RAT, héritant d’astuces utiles telles que la détection d’applications de premier plan pour démarrer l’enregistrement d’écran", ont écrit les chercheurs de ThreatFabric. à un autre niveau, car de telles fonctionnalités ouvrent la porte à la fraude sur l’appareil, contournant la détection basée sur les MO de phishing qui nécessitent une fraude effectuée à partir d’un nouvel appareil.Avec Vultur, la fraude peut se produire sur l’appareil infecté de la victime.Ces attaques sont évolutives et automatisé puisque les actions pour effectuer une fraude peuvent être scriptées sur le backend du logiciel malveillant et envoyées sous la forme de commandes séquencées.
Si l’utilisateur télécharge et ouvre l’une des applications ciblées par Vulture, le cheval de Troie lance alors la session d’enregistrement d’écran. Les utilisateurs qui comprennent et tentent de supprimer l’application malveillante découvriront rapidement qu’ils ne peuvent pas. Un bot dans le logiciel malveillant clique automatiquement sur le bouton de retour et renvoie l’utilisateur à l’écran principal des paramètres.
La seule longueur d’avance des utilisateurs est de prêter attention au panneau de notification, qui montrera qu’une application appelée "Protection Guard" projette l’écran. Pour une description plus détaillée de Vultur, nous vous recommandons de lire le rapport de ThreatFabric. Sinon, n’oubliez pas de ne télécharger que des applications de confiance.
via Ars Technica