Les utilisateurs de smartphones Android en Inde sont la cible d’une nouvelle campagne de logiciels malveillants qui utilise des leurres d’ingénierie sociale pour installer des applications frauduleuses capables de récolter des données sensibles.
« En utilisant des plateformes de médias sociaux comme WhatsApp et Telegram, les attaquants envoient des messages destinés à inciter les utilisateurs à installer une application malveillante sur leur appareil mobile en se faisant passer pour des organisations légitimes, telles que des banques, des services gouvernementaux et des services publics », a déclaré Abhishek Pustakala, chercheur en renseignement sur les menaces chez Microsoft. Harshita Tripathi et Shivang Desai dit dans une analyse de lundi.
Le but ultime de l’opération est de capturer les coordonnées bancaires, les informations de carte de paiement, les identifiants de compte et d’autres données personnelles.
Les chaînes d’attaque consistent à partager des fichiers APK malveillants via des messages sur les réseaux sociaux envoyés sur WhatsApp et Telegram en les présentant faussement comme des applications bancaires et en induisant un sentiment d’urgence en affirmant que les comptes bancaires des cibles seront bloqués à moins qu’elles ne mettent à jour leur numéro de compte permanent (PAN ) émis par le département indien de l’impôt sur le revenu via la fausse application.
Lors de l’installation, l’application invite la victime à saisir ses informations de compte bancaire, le code PIN de sa carte de débit, ses numéros de carte PAN et ses identifiants bancaires en ligne, qui sont ensuite transmis à un serveur de commande et de contrôle (C2) contrôlé par l’acteur et à un serveur dur. numéro de téléphone codé.
« Une fois tous les détails demandés soumis, une note suspecte apparaît indiquant que les détails sont en cours de vérification pour mettre à jour KYC », ont indiqué les chercheurs.
« L’utilisateur est invité à attendre 30 minutes et à ne pas supprimer ou désinstaller l’application. De plus, l’application dispose de la fonctionnalité permettant de masquer son icône, la faisant disparaître de l’écran d’accueil de l’appareil de l’utilisateur tout en continuant à s’exécuter en arrière-plan. »
Un autre aspect notable du malware est qu’il demande à l’utilisateur de lui accorder l’autorisation de lire et d’envoyer des messages SMS, lui permettant ainsi d’intercepter les mots de passe à usage unique (OTP) et d’envoyer les messages des victimes au numéro de téléphone de l’auteur de la menace par SMS.
Des variantes du cheval de Troie bancaire découvertes par Microsoft volent également des détails de carte de crédit ainsi que des informations personnelles identifiables (PII) et des messages SMS entrants, exposant ainsi les utilisateurs sans méfiance à une fraude financière.
Cependant, il convient de noter que pour que ces attaques réussissent, les utilisateurs devront activer l’option permettant d’installer des applications provenant de sources inconnues en dehors du Google Play Store.
« Les infections par des chevaux de Troie bancaires mobiles peuvent présenter des risques importants pour les informations personnelles, la vie privée, l’intégrité des appareils et la sécurité financière des utilisateurs », ont déclaré les chercheurs. « Ces menaces peuvent souvent se déguiser en applications légitimes et déployer des tactiques d’ingénierie sociale pour atteindre leurs objectifs et voler les données sensibles et les actifs financiers des utilisateurs. »
Ce développement intervient alors que l’écosystème Android a également été attaqué par le cheval de Troie SpyNote, qui a utilisateurs Roblox ciblés sous couvert d’un mod pour siphonner les informations sensibles.
Dans un autre cas, de faux sites Web pour adultes sont utilisés comme leurres pour inciter les utilisateurs à télécharger un malware Android appelé Enchant, qui se concentre spécifiquement sur le vol de données provenant de portefeuilles de crypto-monnaie.
« Le malware Enchant utilise la fonctionnalité du service d’accessibilité pour cibler des portefeuilles de crypto-monnaie spécifiques, notamment imToken, OKX, Bitpie Wallet et le portefeuille TokenPocket », Cyble dit dans un récent rapport.
« Son objectif principal est de voler des informations critiques telles que les adresses de portefeuille, les phrases mnémoniques, les détails des actifs du portefeuille, les mots de passe du portefeuille et les clés privées des appareils compromis. »
Le mois dernier, Doctor Web découvert plusieurs applications malveillantes sur le Google Play Store qui affichaient des publicités intrusives (HiddenAds), abonnaient les utilisateurs à des services premium à leur insu ou sans leur consentement (Joker) et favorisaient les escroqueries à l’investissement en se faisant passer pour un logiciel de trading (FakeApp).
L’assaut des logiciels malveillants Android a incité Google à annoncer de nouvelles fonctionnalités de sécurité telles que l’analyse en temps réel au niveau du code pour les applications nouvellement rencontrées. Il a également lancé paramètres restreints avec Android 13 qui interdit aux applications d’accéder aux paramètres critiques de l’appareil (par exemple, l’accessibilité) à moins que cela ne soit explicitement activé par l’utilisateur.
Il n’y a pas que Google. Samsung, fin octobre 2023, a dévoilé un nouveau Bloqueur automatique option qui empêche les installations d’applications à partir de sources autres que Google Play Store et Galaxy Store, et bloque les commandes et installations de logiciels nuisibles via le port USB.
Pour éviter de télécharger des logiciels malveillants depuis Google Play et d’autres sources fiables, il est conseillé aux utilisateurs de vérifier la légitimité des développeurs d’applications, d’examiner les avis et de vérifier les autorisations demandées par les applications.