{"id":1262951,"date":"2024-08-01T17:33:18","date_gmt":"2024-08-01T19:33:18","guid":{"rendered":"https:\/\/teknomers.com\/fr\/bingomod-un-nouveau-cheval-de-troie-bancaire-pour-android-vole-de-largent-et-detruit-des-appareils\/"},"modified":"2024-08-01T17:33:24","modified_gmt":"2024-08-01T19:33:24","slug":"bingomod-un-nouveau-cheval-de-troie-bancaire-pour-android-vole-de-largent-et-detruit-des-appareils","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/bingomod-un-nouveau-cheval-de-troie-bancaire-pour-android-vole-de-largent-et-detruit-des-appareils\/","title":{"rendered":"BingoMod, un nouveau cheval de Troie bancaire pour Android, vole de l’argent et d\u00e9truit des appareils"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>01 ao\u00fbt 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Cheval de Troie bancaire \/ Cyberfraude<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Des chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert un nouveau cheval de Troie d’acc\u00e8s \u00e0 distance (RAT) Android appel\u00e9 BingoMod<\/strong> qui non seulement effectue des transferts d’argent frauduleux \u00e0 partir des appareils compromis, mais les efface \u00e9galement pour tenter d’effacer les traces du logiciel malveillant.<\/p>\n

La soci\u00e9t\u00e9 italienne de cybers\u00e9curit\u00e9 Cleafy, qui a d\u00e9couvert le RAT vers la fin du mois de mai 2024, a d\u00e9clar\u00e9 que le malware \u00e9tait en cours de d\u00e9veloppement. Elle a attribu\u00e9 le cheval de Troie Android \u00e0 un acteur malveillant probablement roumain en raison de la pr\u00e9sence de commentaires en roumain dans le code source associ\u00e9 aux premi\u00e8res versions.<\/p>\n

\u00ab BingoMod appartient \u00e0 la g\u00e9n\u00e9ration moderne de logiciels malveillants mobiles RAT, car ses capacit\u00e9s d’acc\u00e8s \u00e0 distance permettent aux acteurs de la menace (TA) d’effectuer une prise de contr\u00f4le de compte (ATO) directement \u00e0 partir de l’appareil infect\u00e9, exploitant ainsi la technique de fraude sur l’appareil (ODF) \u00bb, ont d\u00e9clar\u00e9 les chercheurs Alessandro Strino et Simone Mattia dit<\/a>.<\/p>\n

\"La<\/a><\/center><\/section>\n

Il convient de mentionner ici que cette technique a \u00e9t\u00e9 observ\u00e9e dans d’autres chevaux de Troie bancaires Android, tels que Medusa (alias TangleBot), Copybara et TeaBot (alias Anatsa).<\/p>\n

BingoMod, comme BRATA, se distingue \u00e9galement par l’utilisation d’un m\u00e9canisme d’autodestruction con\u00e7u pour supprimer toute preuve du transfert frauduleux sur l’appareil infect\u00e9 afin d’entraver l’analyse m\u00e9dico-l\u00e9gale. Bien que cette fonctionnalit\u00e9 soit limit\u00e9e au stockage externe de l’appareil, on soup\u00e7onne que les fonctions d’acc\u00e8s \u00e0 distance pourraient \u00eatre utilis\u00e9es pour lancer une r\u00e9initialisation compl\u00e8te des param\u00e8tres d’usine.<\/p>\n

\"Cheval<\/a><\/div>\n

Certaines des applications identifi\u00e9es se font passer pour des outils antivirus et une mise \u00e0 jour pour Google Chrome. Une fois install\u00e9e, l’application demande \u00e0 l’utilisateur de lui accorder des autorisations pour acc\u00e9der aux services d’accessibilit\u00e9, ce qui lui permet d’initier des actions malveillantes.<\/p>\n

Cela comprend l’ex\u00e9cution de la charge utile principale et le verrouillage de l’utilisateur de l’\u00e9cran principal pour collecter des informations sur l’appareil, qui sont ensuite exfiltr\u00e9es vers un serveur contr\u00f4l\u00e9 par l’attaquant. Il abuse \u00e9galement de l’API des services d’accessibilit\u00e9 pour voler des informations sensibles affich\u00e9es \u00e0 l’\u00e9cran (par exemple, les informations d’identification et les soldes des comptes bancaires) et s’autoriser \u00e0 intercepter les messages SMS.<\/p>\n

\"\"<\/a><\/div>\n

Pour initier des transferts d’argent directement \u00e0 partir d’appareils compromis, BingoMod \u00e9tablit une connexion bas\u00e9e sur un socket avec l’infrastructure de commande et de contr\u00f4le (C2) pour recevoir jusqu’\u00e0 40 commandes \u00e0 distance pour prendre des captures d’\u00e9cran \u00e0 l’aide d’Android. API de projection multim\u00e9dia<\/a> et interagir avec l’appareil en temps r\u00e9el.<\/p>\n

Cela signifie \u00e9galement que la technique ODF s’appuie sur un op\u00e9rateur en direct pour effectuer un transfert d’argent allant jusqu’\u00e0 15 000 \u20ac (~ 16 100 $) par transaction, au lieu de recourir \u00e0 un syst\u00e8me de transfert automatis\u00e9 (ATS) pour commettre une fraude financi\u00e8re \u00e0 grande \u00e9chelle.<\/p>\n

Un autre aspect crucial est l’accent mis par l’acteur de la menace sur l’\u00e9vasion de la d\u00e9tection en utilisant des techniques d’obscurcissement du code et la possibilit\u00e9 de d\u00e9sinstaller des applications arbitraires de l’appareil compromis, ce qui indique que les auteurs de logiciels malveillants privil\u00e9gient la simplicit\u00e9 aux fonctionnalit\u00e9s avanc\u00e9es.<\/p>\n

\u00ab En plus du contr\u00f4le de l’\u00e9cran en temps r\u00e9el, le malware montre des capacit\u00e9s de phishing via des attaques par superposition et de fausses notifications \u00bb, ont d\u00e9clar\u00e9 les chercheurs. \u00ab Fait inhabituel, les attaques par superposition ne se d\u00e9clenchent pas lorsque des applications cibl\u00e9es sp\u00e9cifiques sont ouvertes, mais sont initi\u00e9es directement par l’op\u00e9rateur du malware. \u00bb<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n