Plus de 1 500 appareils Android ont été infectés par une nouvelle souche de malware bancaire Android appelée ToxicPanda, qui permet aux acteurs malveillants d’effectuer des transactions bancaires frauduleuses.
« L’objectif principal de ToxicPanda est d’initier des transferts d’argent à partir d’appareils compromis via la prise de contrôle de compte (ATO) en utilisant une technique bien connue appelée fraude sur l’appareil (ODF) », chercheurs de Cleafy Michele Roviello, Alessandro Strino et Federico Valentini. dit dans une analyse de lundi.
« Il vise à contourner les contre-mesures bancaires utilisées pour imposer la vérification de l’identité et l’authentification des utilisateurs, combinées aux techniques de détection comportementale appliquées par les banques pour identifier les transferts d’argent suspects. »
ToxicPanda est considéré comme l’œuvre d’un acteur malveillant parlant chinois, le malware partageant des similitudes fondamentales avec un autre malware Android baptisé TgToxic, qui peut voler des informations d’identification et des fonds dans des portefeuilles cryptographiques. TgToxic a été documenté par Trend Micro début 2023.
La majorité des compromissions ont été signalées en Italie (56,8 %), suivie du Portugal (18,7 %), de Hong Kong (4,6 %), de l’Espagne (3,9 %) et du Pérou (3,4 %), ce qui constitue un cas rare de compromission chinoise. acteur menaçant orchestrant un stratagème frauduleux visant à cibler les utilisateurs des services bancaires de détail en Europe et en Amérique latine.
Le cheval de Troie bancaire semble également en être à ses balbutiements. L’analyse montre qu’il s’agit d’une version allégée de son ancêtre, supprimant le système de transfert automatique (ATS), Easyclick et les routines d’obscurcissement, tout en introduisant également 33 nouvelles commandes pour récolter un large éventail de données.
En outre, pas moins de 61 commandes se sont révélées communes à TgToxic et ToxicPanda, ce qui indique que le même acteur malveillant ou ses proches affiliés sont à l’origine de la nouvelle famille de logiciels malveillants.
« Bien qu’il partage certaines similitudes avec les commandes de robot de la famille TgToxic, le code s’écarte considérablement de sa source d’origine », ont déclaré les chercheurs. « De nombreuses fonctionnalités caractéristiques de TgToxic sont remarquablement absentes, et certaines commandes apparaissent comme des espaces réservés sans réelle implémentation. »
Le malware se fait passer pour des applications populaires telles que Google Chrome, Visa et 99 Speedmart, et est distribué via des pages contrefaites imitant les pages de liste des magasins d’applications. On ne sait pas actuellement comment ces liens se propagent et s’ils impliquent des techniques de publicité malveillante ou de smishing.
Une fois installé via un chargement latéral, ToxicPanda abuse des services d’accessibilité d’Android pour obtenir des autorisations élevées, manipuler les entrées des utilisateurs et capturer des données d’autres applications. Il peut également intercepter les mots de passe à usage unique (OTP) envoyés par SMS ou générés à l’aide d’applications d’authentification, permettant ainsi aux acteurs malveillants de contourner les protections d’authentification à deux facteurs (2FA) et d’effectuer des transactions frauduleuses.
La fonctionnalité principale du malware, outre sa capacité à récolter des informations, est de permettre aux attaquants de contrôler à distance l’appareil compromis et d’effectuer ce qu’on appelle FDALqui permet d’initier des transferts d’argent non autorisés à l’insu de la victime.
Cleafy a déclaré avoir pu accéder au panneau de commande et de contrôle (C2) de ToxicPanda, une interface graphique présentée en chinois qui permet aux opérateurs d’afficher une liste des appareils victimes, y compris les informations sur le modèle, l’emplacement et les options pour les supprimer. le botnet. De plus, le panneau sert de canal pour demander un accès à distance en temps réel à l’un des dispositifs permettant de réaliser l’ODF.
« ToxicPanda doit démontrer des capacités plus avancées et uniques qui compliqueraient son analyse », ont déclaré les chercheurs. « Cependant, des artefacts tels que des informations de journalisation, du code mort et des fichiers de débogage suggèrent que le logiciel malveillant en est peut-être à ses premiers stades de développement ou qu’il subit une refactorisation approfondie du code, en particulier compte tenu de ses similitudes avec TgToxic. »
Le développement a été réalisé par un groupe de chercheurs du Georgia Institute of Technology, de l’Université internationale allemande et de l’Université Kyung Hee. détaillé un service d’analyse des logiciels malveillants back-end appelé DVa – abréviation de Detector of Victim-Specific Accessibility – pour signaler les logiciels malveillants exploitant les fonctionnalités d’accessibilité sur les appareils Android.
« En utilisant des traces d’exécution dynamiques, DVa utilise en outre une stratégie d’exécution symbolique guidée par des vecteurs d’abus pour identifier et attribuer les routines d’abus aux victimes », ont-ils déclaré. « Enfin, DVa détecte [accessibility]-des mécanismes de persistance habilités pour comprendre comment les logiciels malveillants entravent les requêtes légales ou les tentatives de suppression.
La découverte de ToxicPanda fait également suite à un rapport de Netcraft qui détaillait un autre malware bancaire Android appelé HookBot (alias Hook) qui exploite également les services d’accessibilité d’Android pour mener des attaques par superposition afin d’afficher de fausses pages de connexion au-dessus d’applications bancaires légitimes et de voler des informations d’identification ou autres. données personnelles.
Certaines des institutions populaires ciblées par le logiciel malveillant incluent Airbnb, Bank of Queensland, Citibank, Coinbase, PayPal, Tesco et Transferwise, entre autres. Outre la collecte de données sensibles, une caractéristique notable du cheval de Troie est sa capacité à se propager à la manière d’un ver en envoyant des liens vers des applications contenant des logiciels malveillants via des messages WhatsApp.
« HookBot peut également enregistrer les frappes au clavier et capturer des captures d’écran pour voler des données sensibles pendant que l’utilisateur interagit avec son appareil », explique la société. dit. « Il peut également intercepter les messages SMS, y compris ceux utilisés pour l’authentification à deux facteurs (2FA), permettant ainsi aux acteurs malveillants d’obtenir un accès complet aux comptes des victimes. »
HookBot est proposé à la vente sur Telegram à d’autres acteurs criminels sous un modèle de malware-as-a-service (MaaS), coûtant entre 80 $ pour un abonnement hebdomadaire et 640 $ pour six mois. Il est également livré avec un générateur qui permet aux clients de générer de nouveaux échantillons de logiciels malveillants et de créer des applications de compte-gouttes.
Mise à jour
Suite à la publication de l’histoire, Google a partagé la déclaration ci-dessous avec The Hacker News :
D’après notre détection actuelle, aucune application contenant ce malware n’est trouvée sur Google Play. Les utilisateurs d’Android sont automatiquement protégés contre les versions connues de ce malware par Google Play Protectionqui est activé par défaut sur les appareils Android dotés des services Google Play. Google Play Protect peut avertir les utilisateurs ou bloquer les applications connues pour présenter un comportement malveillant, même lorsque ces applications proviennent de sources extérieures à Play.
Source link