Des chercheurs en cybersécurité ont découvert une version mise à jour d’un malware bancaire Android appelé Chameleon, qui a étendu son ciblage pour inclure les utilisateurs du Royaume-Uni et de l’Italie.
« Représentant une itération restructurée et améliorée de son prédécesseur, cette variante évoluée du Chameleon excelle dans l’exécution de Device Takeover (DTO) à l’aide du service d’accessibilité, tout en élargissant sa région ciblée », a déclaré la société néerlandaise de sécurité mobile ThreatFabric. dit dans un rapport partagé avec The Hacker News.
Chameleon avait déjà été documenté par Cyble en avril 2023, notant qu’il était utilisé pour identifier les utilisateurs en Australie et en Pologne depuis au moins janvier. Comme d’autres logiciels malveillants bancaires, il est connu pour abuser de ses autorisations sur le service d’accessibilité d’Android pour collecter des données sensibles et mener des attaques par superposition.
Les applications malveillantes contenant la version précédente ont été hébergées sur des pages de phishing et se sont fait passer pour de véritables institutions du pays, telles que l’Australian Taxation Office (ATO) et une plateforme d’échange de crypto-monnaie appelée CoinSpot, dans le but de leur donner un voile de crédibilité.
Les dernières découvertes de ThreatFabric montrent que le cheval de Troie bancaire est désormais distribué via Zombinder, un compte-gouttes en tant que service (DaaS) prêt à l’emploi vendu à d’autres acteurs malveillants et qui peut être utilisé pour « lier » des charges utiles malveillantes. aux applications légitimes.
Battez les menaces basées sur l’IA avec Zero Trust – Webinaire pour les professionnels de la sécurité
Les mesures de sécurité traditionnelles ne suffiront pas dans le monde d’aujourd’hui. L’heure est à la sécurité Zero Trust. Sécurisez vos données comme jamais auparavant.
Bien que l’offre ait été soupçonnée d’avoir été fermée plus tôt cette année, elle a refait surface le mois dernier, annonçant des capacités permettant de contourner la fonctionnalité « Paramètres restreints » d’Android pour installer des logiciels malveillants sur les appareils et obtenir l’accès au service d’accessibilité.
Les deux artefacts malveillants distribuant Chameleon se font passer pour le navigateur Web Google Chrome. Leurs noms de packages sont répertoriés ci-dessous –
- Z72645c414ce232f45.Z35aad4dde2ff09b48
- com.busy.lady
Une caractéristique notable de la variante améliorée est sa capacité à mener une fraude par prise de contrôle de périphérique (DTO), qui exploite le service d’accessibilité pour effectuer des actions non autorisées au nom de la victime.
Mais afin d’inciter les utilisateurs à activer le paramètre, le malware vérifie la version d’Android sur l’appareil installé et s’il s’avère qu’il s’agit d’Android 13 ou d’une version ultérieure, invite l’utilisateur à l’activer.
« Dès réception de la confirmation de la présence des paramètres restreints d’Android 13 sur l’appareil infecté, le cheval de Troie bancaire lance le chargement d’une page HTML », a expliqué ThreatFabric. « La page guide les utilisateurs à travers un processus manuel étape par étape pour activer le service d’accessibilité sur Android 13 et versions ultérieures. »
Un autre nouvel ajout est l’utilisation des API Android pour perturber les opérations biométriques de l’appareil ciblé en transformant secrètement le mécanisme d’authentification de l’écran de verrouillage en un code PIN afin de permettre au malware de « déverrouiller l’appareil à volonté » à l’aide du service d’accessibilité.
« L’émergence du nouveau cheval de Troie bancaire Chameleon est un autre exemple du paysage de menaces sophistiquées et adaptatives au sein de l’écosystème Android », a déclaré la société. « Évoluant par rapport à sa version précédente, cette variante démontre une résilience accrue et de nouvelles fonctionnalités avancées. »
Cette évolution intervient alors que Zimperium a révélé que 29 familles de logiciels malveillants – dont 10 nouveaux – ont ciblé 1 800 applications bancaires dans 61 pays au cours de l’année écoulée. Les nouvelles familles actives incluent Nexus, Godfather, PixPirate, Saderat, Hook, PixBankBot, Xenomorph v3, Vultur, BrasDex et GoatRAT.
Les principaux pays américains ciblés sont les États-Unis (109 applications bancaires), le Royaume-Uni (48), l’Italie (44), l’Australie (34), la Turquie (32), la France (30), l’Espagne (29), le Portugal (27), Allemagne (23), Canada (17) et Brésil (11). Les applications de services financiers les plus ciblées sont PhonePe (Inde), WeChat, Bank of America, Well Fargo (États-Unis), Binance (Malte), Barclays (Royaume-Uni), QNB Finansbank (Turquie) et CaixaBank (Espagne).
« Les applications bancaires traditionnelles restent la cible principale, avec un nombre stupéfiant de 1 103 applications – représentant 61 % des cibles – tandis que les applications émergentes de FinTech et de Trading sont désormais dans la ligne de mire, représentant les 39 % restants », a déclaré la société. dit.