Une version mise à jour d’un Cheval de Troie bancaire Android appelé Xénomorphe a jeté son dévolu sur plus de 35 institutions financières aux États-Unis
Selon la société de sécurité néerlandaise ThreatFabric, la campagne exploite des pages Web de phishing conçues pour inciter les victimes à installer des applications Android malveillantes ciblant une liste d’applications plus large que ses prédécesseurs. Certains des autres pays importants ciblés comprennent l’Espagne, le Canada, l’Italie et la Belgique.
« Cette nouvelle liste ajoute des dizaines de nouvelles superpositions pour les institutions des États-Unis, du Portugal et plusieurs portefeuilles cryptographiques, suivant une tendance qui a été constante parmi toutes les familles de logiciels malveillants bancaires au cours de l’année dernière », a déclaré la société. dit dans une analyse publiée lundi.
Xenomorph est une variante d’un autre malware bancaire appelé Alien, apparu pour la première fois en 2022. Plus tard cette année-là, le malware financier s’est propagé via un nouveau compte-gouttes baptisé BugDrop, qui a contourné les fonctionnalités de sécurité d’Android 13.
Une itération ultérieure repérée plus tôt en mars était dotée de fonctionnalités permettant de commettre des fraudes à l’aide de ce que l’on appelle le système de transfert automatique (ATS).
Cette fonctionnalité permet à ses opérateurs, nommés Hadoken Security, de prendre complètement le contrôle de l’appareil en abusant des privilèges d’accessibilité d’Android et de transférer illégalement des fonds de l’appareil compromis vers un compte contrôlé par un acteur.
Le malware exploite également des attaques par superposition pour voler des informations sensibles telles que des informations d’identification et des numéros de carte de crédit en affichant de faux écrans de connexion au-dessus des applications bancaires ciblées. Les overlays sont récupérés depuis un serveur distant sous la forme d’une liste d’URL.
En d’autres termes, le cadre ATS permet d’extraire automatiquement les informations d’identification, d’accéder aux informations sur le solde du compte, d’initier des transactions, d’obtenir des jetons MFA à partir d’applications d’authentification et d’effectuer des transferts de fonds, le tout sans aucune intervention humaine.
« Les acteurs ont déployé beaucoup d’efforts dans les modules prenant en charge les appareils Samsung et Xiaomi », ont déclaré les chercheurs. « Cela est logique, étant donné que ces deux éléments combinés représentent environ 50 % de la part totale du marché Android. »
Certaines des nouvelles fonctionnalités ajoutées aux dernières versions de Xenomorph incluent une fonctionnalité « anti-veille » qui empêche l’écran du téléphone de s’éteindre en créant une notification push active, une option pour simuler un simple toucher à une coordonnée d’écran spécifique et usurper l’identité d’une autre application. en utilisant une fonction « mimique ».
Combattez l’IA avec l’IA – Combattez les cybermenaces avec des outils d’IA de nouvelle génération
Prêt à relever les nouveaux défis de cybersécurité basés sur l’IA ? Rejoignez notre webinaire perspicace avec Zscaler pour répondre à la menace croissante de l’IA générative dans la cybersécurité.
Afin de contourner la détection pendant de longues périodes, le malware masque son icône sur le lanceur de l’écran d’accueil lors de l’installation. L’abus des services d’accessibilité lui permet en outre de s’accorder toutes les autorisations dont il a besoin pour fonctionner sans entrave sur un appareil compromis.
Les versions précédentes du cheval de Troie bancaire se sont fait passer pour des applications et utilitaires légitimes sur le Google Play Store. Mais la dernière vague d’attaques observée à la mi-août 2023 change le mode opératoire en diffusant les applications via des sites contrefaits proposant des mises à jour du navigateur Chrome.
Signe que les auteurs de la menace ciblent plusieurs systèmes d’exploitation, l’enquête a révélé que l’infrastructure d’hébergement des charges utiles est également utilisée pour diffuser des logiciels malveillants voleurs Windows tels que Lumma C2 et RiseProainsi qu’un chargeur de malware appelé Private Loader.
« Xenomorph maintient son statut de malware bancaire Android extrêmement dangereux, doté d’un moteur ATS très polyvalent et puissant, avec plusieurs modules déjà créés, avec l’idée de prendre en charge les appareils de plusieurs fabricants », a déclaré ThreatFabric.