Les attaques de logiciels malveillants menacent les plateformes financières numériques et les référentiels de stockage en ligne.

Les chercheurs en cybersécurité ont découvert quatre familles actives de logiciels malveillants Android qui ciblent plus de 800 applications, notamment les portefeuilles de crypto-monnaie et les applications bancaires. Ces logiciels malveillants utilisent des méthodes que la plupart des outils de sécurité traditionnels ne peuvent pas détecter.

L'équipe zLabs de Zimperium a publié les résultats du suivi des chevaux de Troie connus sous les noms de RecruitRat, SaferRat, Astrinox et Massiv.

Selon les recherches de l’entreprise, chaque famille dispose de son propre réseau de commande et de contrôle qu’elle utilise pour voler les informations de connexion, prendre en charge les transactions financières et obtenir les données des utilisateurs des appareils infectés.

Les applications cryptographiques et bancaires sont confrontées à de nouvelles menaces provenant de plusieurs malwares

Les familles de logiciels malveillants constituent une menace directe pour quiconque gère la cryptographie sur Android.

Une fois installés, les chevaux de Troie peuvent placer de faux écrans de connexion au-dessus de véritables applications cryptographiques et bancaires, volant des mots de passe et d'autres informations privées en temps réel. Le malware place ensuite une fausse page HTML sur la véritable interface de l’application, créant ainsi ce que l’entreprise appelle « une façade trompeuse et très convaincante ».

"En utilisant les services d'accessibilité pour surveiller le premier plan, le malware détecte le moment exact où une victime lance une application financière", ont écrit des chercheurs en sécurité de Zimperium.

Selon le rapport, les chevaux de Troie peuvent faire bien plus que simplement voler des informations d’identification. Ils peuvent également capturer des codes d’accès à usage unique, diffuser l’écran d’un appareil aux attaquants, masquer leurs propres icônes d’application et empêcher les utilisateurs de les désinstaller.

Chaque campagne utilise un appât différent pour inciter les gens à se laisser prendre au piège.

SaferRat s'est propagé en utilisant de faux sites Web qui promettaient un accès gratuit à des services de streaming premium. RecruitRat a caché sa charge utile dans le cadre d'un processus de candidature à un emploi, envoyant des cibles à des sites de phishing qui leur demandaient de télécharger un fichier APK malveillant.

Astrinox a utilisé le même type de méthode basée sur le recrutement, en utilisant le domaine xhire[.]cc. Selon l'appareil utilisé pour visiter ce site, celui-ci affichait un contenu différent.

Les utilisateurs d'Android ont été invités à télécharger un APK et les utilisateurs d'iOS ont vu une page qui ressemblait à l'App Store d'Apple. Cependant, les chercheurs en sécurité n’ont trouvé aucune preuve qu’iOS ait réellement été piraté.

Il n'a pas été possible de confirmer comment Massiv a été distribué au cours du cycle de recherche.

Les quatre chevaux de Troie utilisaient une infrastructure de phishing, des escroqueries par SMS et de l’ingénierie sociale qui exploitaient le besoin des utilisateurs d’agir rapidement ou leur curiosité pour les amener à télécharger des applications nuisibles.

Les logiciels malveillants cryptographiques échappent à la détection

Les campagnes visent à contourner les outils de sécurité.

Les chercheurs ont découvert que les familles de logiciels malveillants utilisent des techniques avancées d’anti-analyse et une falsification structurelle des packages d’applications Android (APK) pour maintenir ce que l’entreprise appelle « des taux de détection proches de zéro par rapport aux mécanismes de sécurité traditionnels basés sur les signatures ».

Les communications réseau se mêlent également au trafic régulier. Les chevaux de Troie utilisent des connexions HTTPS et WebSocket pour communiquer avec leurs serveurs de commandes. Certaines versions ajoutent des couches supplémentaires de cryptage en plus de ces connexions.

Une autre chose importante est la persévérance. Les chevaux de Troie bancaires Android modernes n’utilisent plus d’infections simples en une seule étape. Au lieu de cela, ils utilisent des processus d’installation en plusieurs étapes destinés à contourner le modèle d’autorisation changeant d’Android, ce qui rend plus difficile pour les applications de faire des choses sans l’autorisation explicite de l’utilisateur.

Le rapport n’a pas identifié de portefeuilles ou d’échanges cryptographiques particuliers parmi les +800 applications ciblées. Mais en raison des attaques par superposition, de l’interception de mot de passe et du streaming d’écran, toute application de cryptographie basée sur Android pourrait être menacée si un utilisateur installait un APK malveillant depuis l’extérieur du Google Play Store.

Le téléchargement d'applications à partir de liens contenus dans des messages texte, des offres d'emploi ou des sites Web promotionnels reste l'un des moyens garantis pour les logiciels malveillants mobiles de pénétrer dans un smartphone.

Les personnes qui gèrent leur crypto sur des appareils Android ne doivent utiliser que les magasins d'applications officiels et se méfier des messages contextuels qui leur demandent de télécharger quelque chose.