Les acteurs de la menace distribuent des applications malveillantes sous le couvert d’applications d’achat apparemment inoffensives pour cibler les clients de huit banques malaisiennes depuis au moins novembre 2021.
Les attaques impliquaient la création de sites Web frauduleux mais d’apparence légitime pour inciter les utilisateurs à télécharger les applications, a déclaré la société slovaque de cybersécurité ESET dans un rapport partagé avec The Hacker News.
Les sites Web imitateurs se sont fait passer pour des services de nettoyage tels que Maid4u, Grabmaid, Maria’s Cleaning, Maid4u, YourMaid, Maideasy et MaidACall et une animalerie nommée PetsMore, qui sont tous destinés aux utilisateurs en Malaisie.
« Les acteurs de la menace utilisent ces fausses applications de boutique en ligne pour hameçonner les informations d’identification bancaires », ESET mentionné. « Les applications transfèrent également tous les messages SMS reçus par la victime aux opérateurs de logiciels malveillants au cas où ils contiendraient des codes 2FA envoyés par la banque. »
Les banques ciblées sont Maybank, Affin Bank, Public Bank Berhad, CIMB bank, BSN, RHB, Bank Islam Malaysia et Hong Leong Bank.
Les sites Web, diffusés via des publicités Facebook, invitent les visiteurs à télécharger ce que les attaquants prétendent être des applications Android disponibles sur le Google Play Store, mais en réalité, les redirigent vers des serveurs malveillants sous leur contrôle.
Il convient de noter ici que l’attaque repose sur la condition préalable que les victimes potentielles activent l’option « Installer des applications inconnues » non par défaut sur leurs appareils pour qu’elle réussisse. De plus, cinq des services abusés n’ont même pas d’application sur Google Play.
Une fois lancées, les applications invitent les utilisateurs à se connecter à leurs comptes, leur permettant de passer de fausses commandes, après quoi des options sont présentées pour terminer le processus de paiement en incluant un transfert de fonds depuis leurs comptes bancaires.
« Après avoir choisi l’option de transfert direct, les victimes sont présentées [with] une fausse page de paiement FPX et a demandé de choisir sa banque parmi les huit banques malaisiennes fournies, puis de saisir ses informations d’identification », a déclaré Lukáš Štefanko, chercheur sur les logiciels malveillants chez ESET.
Le but ultime de la campagne est de voler les informations d’identification bancaires saisies par les utilisateurs et de les exfiltrer vers le serveur contrôlé par l’attaquant, tout en affichant un message d’erreur indiquant que l’identifiant ou le mot de passe saisi n’est pas valide.
De plus, les fausses applications sont conçues pour accéder et transmettre tous les messages SMS reçus par les utilisateurs au serveur distant dans le cas où les comptes bancaires sont sécurisés par une authentification à deux facteurs.
« Bien que la campagne cible exclusivement la Malaisie pour le moment, elle pourrait s’étendre à d’autres pays et banques plus tard », a déclaré Štefanko. « À l’heure actuelle, les attaquants recherchent des informations d’identification bancaires, mais ils pourraient également permettre le vol d’informations de carte de crédit à l’avenir. »