Un nouveau cheval de Troie bancaire Android a jet\u00e9 son d\u00e9volu sur les institutions financi\u00e8res br\u00e9siliennes pour qu’elles commettent une fraude en exploitant la plateforme de paiement PIX.<\/p>\n
La soci\u00e9t\u00e9 italienne de cybers\u00e9curit\u00e9 Cleafy, qui a d\u00e9couvert le malware entre fin 2022 et d\u00e9but 2023, le traque sous le nom de PixPirate.<\/p>\n
“PixPirate appartient \u00e0 la derni\u00e8re g\u00e9n\u00e9ration de chevaux de Troie bancaires Android, car il peut effectuer ATS<\/a> (Syst\u00e8me de transfert automatique<\/a>), permettant aux attaquants d’automatiser l’insertion d’un transfert d’argent malveillant sur la plateforme de paiement instantan\u00e9 Pix, adopt\u00e9e par plusieurs banques br\u00e9siliennes \u00bb, ont d\u00e9clar\u00e9 les chercheurs Francesco Iubatti et Alessandro Strino. a dit<\/a>.<\/p>\n Il s’agit \u00e9galement du dernier ajout d’une longue liste de logiciels malveillants bancaires Android \u00e0 abuser de l’API des services d’accessibilit\u00e9 du syst\u00e8me d’exploitation pour ex\u00e9cuter ses fonctions n\u00e9fastes, notamment la d\u00e9sactivation de Google Play Protect, l’interception des messages SMS, la pr\u00e9vention de la d\u00e9sinstallation et la diffusion de publicit\u00e9s malveillantes via des notifications push.<\/p>\n En plus de voler les mots de passe saisis par les utilisateurs sur les applications bancaires, les acteurs de la menace \u00e0 l’origine de l’op\u00e9ration ont exploit\u00e9 l’obscurcissement du code et le cryptage \u00e0 l’aide d’un framework appel\u00e9 Auto.js pour r\u00e9sister aux efforts d’ing\u00e9nierie inverse.<\/p>\n Les applications de compte-gouttes utilis\u00e9es pour fournir PixPirate se pr\u00e9sentent sous la forme d’applications d’authentification. Rien n’indique que les applications ont \u00e9t\u00e9 publi\u00e9es sur le Google Play Store officiel.<\/p>\n Les r\u00e9sultats surviennent plus d’un mois apr\u00e8s que ThreatFabric a divulgu\u00e9 les d\u00e9tails d’un autre logiciel malveillant appel\u00e9 BrasDex qui est \u00e9galement dot\u00e9 de capacit\u00e9s ATS, en plus d’abuser de PIX pour effectuer des transferts de fonds frauduleux.<\/p>\n “L’introduction de capacit\u00e9s ATS associ\u00e9es \u00e0 des frameworks qui aideront au d\u00e9veloppement d’applications mobiles, utilisant des langages flexibles et plus r\u00e9pandus (r\u00e9duisant la courbe d’apprentissage et le temps de d\u00e9veloppement), pourrait conduire \u00e0 des logiciels malveillants plus sophistiqu\u00e9s qui, \u00e0 l’avenir, pourraient \u00eatre compar\u00e9s \u00e0 leurs homologues du poste de travail \u00bb, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n Le d\u00e9veloppement intervient \u00e9galement alors que Cyble a mis en lumi\u00e8re un nouveau cheval de Troie d’acc\u00e8s \u00e0 distance Android nomm\u00e9 Gigabud RAT ciblant les utilisateurs en Tha\u00eflande, au P\u00e9rou et aux Philippines depuis au moins juillet 2022 en se faisant passer pour des applications bancaires et gouvernementales.<\/p>\n “Le RAT a des fonctionnalit\u00e9s avanc\u00e9es telles que l’enregistrement d’\u00e9cran et l’abus des services d’accessibilit\u00e9 pour voler des informations d’identification bancaires”, ont d\u00e9clar\u00e9 les chercheurs. a dit<\/a>notant son utilisation des sites de phishing comme vecteur de diffusion.<\/p>\n La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 en outre r\u00e9v\u00e9l\u00e9<\/a> que les acteurs de la menace derri\u00e8re le march\u00e9 InTheBox darknet annoncent un catalogue de 1 894 injections Web compatibles avec divers logiciels malveillants bancaires Android tels que Alien, Cerberus, ERMAC, Hydra et Octo.<\/p>\n Les modules d’injection Web, principalement utilis\u00e9s pour collecter des informations d’identification et des donn\u00e9es sensibles, sont con\u00e7us pour distinguer les services bancaires, les services de paiement mobile, les \u00e9changes de crypto-monnaie et les applications de commerce \u00e9lectronique mobile couvrant l’Asie, l’Europe, le Moyen-Orient et les Am\u00e9riques.<\/p>\n Mais dans une tournure plus inqui\u00e9tante, les applications frauduleuses ont trouv\u00e9 un moyen de contourner les d\u00e9fenses de l’App Store d’Apple et de Google Play pour perp\u00e9trer ce qu’on appelle une escroquerie de boucherie appel\u00e9e CryptoRom.<\/p>\n La technique consiste \u00e0 utiliser des m\u00e9thodes d’ing\u00e9nierie sociale telles que l’approche des victimes via des applications de rencontres comme Tinder pour les inciter \u00e0 t\u00e9l\u00e9charger des applications d’investissement frauduleuses dans le but de voler leur argent.<\/p>\n Les applications iOS malveillantes en question sont Ace Pro et MBM_BitScan, qui ont depuis \u00e9t\u00e9 supprim\u00e9es par Apple. Une version Android de MBM_BitScan a \u00e9galement \u00e9t\u00e9 supprim\u00e9e par Google.<\/p>\n La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Sophos, qui a fait la d\u00e9couverte, a d\u00e9clar\u00e9 que les applications iOS comportaient une “technique d’\u00e9vasion d’examen” qui permettait aux auteurs de logiciels malveillants de passer le processus de v\u00e9rification.<\/p>\n “Les deux applications que nous avons trouv\u00e9es utilisaient du contenu distant pour fournir leur fonctionnalit\u00e9 malveillante – un contenu qui \u00e9tait probablement cach\u00e9 jusqu’\u00e0 la fin de l’examen de l’App Store”, a d\u00e9clar\u00e9 Jagadeesh Chandraiah, chercheur chez Sophos. a dit<\/a>.<\/p>\n Les escroqueries \u00e0 l’abattage de porcs ont commenc\u00e9 en Chine et \u00e0 Ta\u00efwan, et se sont depuis \u00e9tendues \u00e0 l’\u00e9chelle mondiale ces derni\u00e8res ann\u00e9es, avec un grande partie des op\u00e9rations<\/a> men\u00e9es \u00e0 partir de zones \u00e9conomiques sp\u00e9ciales au Laos, au Myanmar et au Cambodge.<\/p>\n En novembre 2022, le minist\u00e8re am\u00e9ricain de la Justice (DoJ) a annonc\u00e9 le retrait de sept noms de domaine dans le cadre d’une escroquerie de crypto-monnaie de boucherie de porc qui a rapport\u00e9 aux acteurs criminels plus de 10 millions de dollars de cinq victimes.<\/p>\n <\/p>\n![\"Cheval](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/02\/1675523965_29_PixPirate-nouveau-cheval-de-Troie-bancaire-Android-ciblant-les-institutions.png\" "\\"Cheval")
<\/div>\n