Une nouvelle souche de malware Android a été repérée dans la nature ciblant les clients des banques en ligne et des portefeuilles de crypto-monnaie en Espagne et en Italie, quelques semaines seulement après qu’une opération coordonnée d’application de la loi a démantelé FluBot.
Le cheval de Troie voleur d’informations, dont le nom de code MaliBot par F5 Labs, est aussi riche en fonctionnalités que ses homologues, lui permettant de voler des informations d’identification et des cookies, de contourner les codes d’authentification multifacteur (MFA) et d’abuser du service d’accessibilité d’Android pour surveiller l’écran de l’appareil de la victime.
MaliBot est connu pour se déguiser principalement en applications d’extraction de crypto-monnaie telles que Mining X ou The CryptoApp qui sont distribuées via des sites Web frauduleux conçus pour inciter les visiteurs potentiels à les télécharger.
Il tire également une autre feuille du livre de jeu du cheval de Troie bancaire mobile en ce sens qu’il utilise le smishing comme vecteur de distribution pour faire proliférer le malware en accédant aux contacts d’un smartphone infecté et en envoyant des messages SMS contenant des liens vers le malware.
« Le command-and-control (C2) de MaliBot est en Russie et semble utiliser les mêmes serveurs qui ont été utilisés pour distribuer le Logiciel malveillant Sality« , Dor Nizar, chercheur au F5 Labs a dit. « Il s’agit d’une refonte fortement modifiée du logiciel malveillant SOVA, avec des fonctionnalités, des cibles, des serveurs C2, des domaines et des schémas de conditionnement différents. »
SOVA (qui signifie « hibou » en russe), qui a été détecté pour la première fois en août 2021, se distingue par sa capacité à mener des attaques par superposition, qui fonctionnent en affichant une page frauduleuse à l’aide de WebView avec un lien fourni par le serveur C2 si une victime ouvre un application bancaire incluse dans sa liste de cibles actives.
Certaines des banques ciblées par MaliBot utilisant cette approche incluent UniCredit, Santander, CaixaBank et CartaBCC.
Le service d’accessibilité est un service d’arrière-plan exécuté sur les appareils Android pour aider les utilisateurs handicapés. Il a longtemps été exploité par les logiciels espions et les chevaux de Troie pour capturer le contenu de l’appareil et intercepter les informations d’identification saisies par des utilisateurs sans méfiance sur d’autres applications.
En plus de pouvoir siphonner les mots de passe et les cookies du compte Google de la victime, le malware est conçu pour balayer les codes 2FA de l’application Google Authenticator ainsi que pour exfiltrer des informations sensibles telles que les soldes totaux et les phrases de départ des applications Binance et Trust Wallet.
De plus, Malibot est capable de militariser son accès à l’API d’accessibilité pour vaincre les méthodes d’authentification à deux facteurs (2FA) de Google, telles que Invites Googlemême dans les scénarios où une tentative est faite pour se connecter aux comptes à l’aide des informations d’identification volées à partir d’un appareil jusque-là inconnu.
« La polyvalence du logiciel malveillant et le contrôle qu’il donne aux attaquants sur l’appareil signifient qu’il pourrait, en principe, être utilisé pour un plus large éventail d’attaques que le vol d’informations d’identification et de crypto-monnaie », ont déclaré les chercheurs.
« En fait, toute application qui utilise WebView est susceptible de se faire voler les identifiants et les cookies des utilisateurs. »