Un cheval de Troie bancaire Android émergent appelé Zanubis se fait désormais passer pour une application gouvernementale péruvienne pour inciter les utilisateurs sans méfiance à installer le malware.
“La principale voie d’infection de Zanubis consiste à usurper l’identité d’applications Android péruviennes légitimes, puis à inciter l’utilisateur à activer les autorisations d’accessibilité afin de prendre le contrôle total de l’appareil”, Kaspersky dit dans une analyse publiée la semaine dernière.
Zanubis, documenté à l’origine en août 2022, est le dernier ajout à une longue liste de logiciels malveillants bancaires Android ciblant la région d’Amérique latine (LATAM). Les cibles comprennent plus de 40 banques et entités financières au Pérou.
Il est principalement connu pour abuser des autorisations d’accessibilité sur l’appareil infecté pour afficher de faux écrans de superposition au-dessus des applications ciblées dans le but de voler les informations d’identification. il est également capable de collecter des données de contact, une liste des applications installées et des métadonnées système.
Kaspersky a déclaré avoir observé des échantillons récents de Zanubis dans la nature en avril 2023, opérant sous le couvert de l’agence douanière et fiscale péruvienne nommée Superintendencia Nacional de Aduanas y de Administración Tributaria (SUNAT).
L’installation de l’application et l’octroi d’autorisations d’accessibilité lui permettent de s’exécuter en arrière-plan et de charger le véritable site Web SUNAT à l’aide de WebView d’Android pour créer un vernis de légitimité. Il maintient les connexions à un serveur contrôlé par un acteur pour recevoir les commandes de l’étape suivante via WebSockets.
Les autorisations sont en outre exploitées pour garder un œil sur les applications ouvertes sur l’appareil et les comparer à une liste d’applications ciblées. Si une application de la liste est lancée, Zanubis enregistre les frappes au clavier ou enregistre l’écran pour siphonner les données sensibles.
Ce qui distingue Zanubis et le rend plus puissant, c’est sa capacité à se faire passer pour une mise à jour du système d’exploitation Android, rendant ainsi l’appareil inutilisable.
“Pendant la mise à jour, le téléphone reste inutilisable au point qu’il ne peut plus être verrouillé ou déverrouillé, car le malware surveille ces tentatives et les bloque”, a noté Kaspersky.
Ce développement intervient alors qu’AT&T Alien Labs a détaillé un autre cheval de Troie d’accès à distance (RAT) basé sur Android, baptisé MMRat, capable de capturer les entrées de l’utilisateur et le contenu de l’écran, ainsi que la commande et le contrôle.
“Les RAT sont un choix populaire auprès des pirates informatiques en raison de leurs nombreuses capacités allant de la reconnaissance et de l’exfiltration de données à la persistance à long terme”, a déclaré la société. dit.