Une campagne de malware Android ciblant les banques iraniennes a étendu ses capacités et incorporé des tactiques d’évasion supplémentaires pour passer inaperçues.
C’est ce que révèle un nouveau rapport de Zimperium, qui a découvert plus de 200 applications malveillantes associé à l’opération malveillante, l’acteur menaçant a également été observé en train de mener des attaques de phishing contre les institutions financières ciblées.
La campagne a été révélée pour la première fois fin juillet 2023 lorsque Sophos a détaillé un groupe de 40 applications de collecte d’informations d’identification ciblant les clients de la Bank Mellat, de la Bank Saderat, de la Resalat Bank et de la Banque centrale d’Iran.
L’objectif principal de ces fausses applications est d’inciter les victimes à leur accorder des autorisations étendues, ainsi qu’à récupérer les informations de connexion bancaire et les détails de la carte de crédit en abusant des services d’accessibilité d’Android.
« Les versions légitimes correspondantes des applications malveillantes sont disponibles sur Cafe Bazaar, un marché Android iranien, et ont des millions de téléchargements », avait alors déclaré Pankaj Kohli, chercheur chez Sophos.
« Les imitations malveillantes, en revanche, étaient disponibles au téléchargement à partir d’un grand nombre de domaines relativement nouveaux, dont certains étaient également utilisés par les auteurs de la menace comme serveurs C2. »
Il est intéressant de noter que certains de ces domaines ont également été observés pour servir des pages de phishing HTML conçues pour voler les informations d’identification des utilisateurs mobiles.
Les dernières découvertes de Zimpérium illustrent l’évolution continue de la menace, non seulement en termes d’un ensemble plus large de banques ciblées et d’applications de portefeuille de crypto-monnaie, mais également en intégrant des fonctionnalités jusqu’alors non documentées qui la rendent plus puissante.
Cela inclut l’utilisation du service d’accessibilité pour lui accorder des autorisations supplémentaires pour intercepter les messages SMS, empêcher la désinstallation et cliquer sur les éléments de l’interface utilisateur.
Il a également été découvert que certaines variantes du logiciel malveillant accèdent à un fichier README dans les référentiels GitHub pour extraire une version codée en Base64 du serveur de commande et de contrôle (C2) et des URL de phishing.
« Cela permet aux attaquants de réagir rapidement aux sites de phishing supprimés en mettant à jour le référentiel GitHub, garantissant ainsi que les applications malveillantes reçoivent toujours le dernier site de phishing actif », ont déclaré les chercheurs de Zimperium Aazim Yaswant et Vishnu Pratapagiri.
Une autre tactique remarquable consiste à utiliser des serveurs C2 intermédiaires pour héberger des fichiers texte contenant les chaînes codées pointant vers les sites de phishing.
Même si la campagne s’est jusqu’à présent concentrée sur Android, il existe des preuves que le système d’exploitation iOS d’Apple est également une cible potentielle, car les sites de phishing vérifient si la page est ouverte par un appareil iOS et, si c’est le cas, dirigent le victime d’un site Internet imitant la version iOS de l’application Bank Saderat Iran.
Il n’est actuellement pas clair si la campagne iOS est en cours de développement ou si les applications sont distribuées via une source, pour l’instant non identifiée.
Les campagnes de phishing ne sont pas moins sophistiquées, usurpant l’identité des sites Web réels pour exfiltrer les informations d’identification, les numéros de compte, les modèles d’appareils et les adresses IP vers deux canaux Telegram contrôlés par des acteurs.
« Il est évident que les logiciels malveillants modernes deviennent de plus en plus sophistiqués et que leurs cibles s’élargissent. La visibilité et la protection à l’exécution sont donc cruciales pour les applications mobiles », ont déclaré les chercheurs.
Le développement intervient un peu plus d’un mois après que Fingerprint ait démontré une méthode par laquelle des applications Android malveillantes peuvent accéder furtivement et copier les données du presse-papiers en exploitant le SYSTEM_ALERT_WINDOW autorisation de masquer la notification toast qui s’affiche lorsqu’une application particulière lit les données du presse-papiers.
« Il est possible de surdessiner un toast avec un toast différent ou avec n’importe quelle autre vue, masquer complètement le toast d’origine peut empêcher l’utilisateur d’être averti des actions du presse-papiers, » Empreinte digitale dit. « Toute application disposant de l’autorisation SYSTEM_ALERT_WINDOW peut lire les données du presse-papiers sans en avertir l’utilisateur. »