Les utilisateurs d’Android en Inde ciblés par des applications malveillantes déguisées en banques et agences gouvernementales

 » En utilisant des plateformes de médias sociaux comme WhatsApp et Telegram, les attaquants envoient des messages conçus pour inciter les utilisateurs à installer une application malveillante sur leur appareil mobile en se faisant passer pour des organisations légitimes, telles que des banques, des services gouvernementaux et des services publics « , ont déclaré Abhishek Pustakala, Harshita Tripathi et Shivang Desai, chercheurs en renseignements sur les menaces chez Microsoft, dans une analyse publiée lundi.

Le but ultime de l’opération est de s’emparer des coordonnées bancaires, des informations sur les cartes de paiement, des identifiants de compte et d’autres données personnelles.

Les chaînes d’attaque impliquent le partage de fichiers APK malveillants via des messages de médias sociaux envoyés sur WhatsApp et Telegram en les présentant faussement comme des applications bancaires et en induisant un sentiment d’urgence en prétendant que les comptes bancaires des cibles seront bloqués à moins qu’ils ne mettent à jour leur numéro de compte permanent (PAN) émis par le département indien de l’impôt sur le revenu par le biais de la fausse application.

Une fois installée, l’application invite la victime à saisir ses informations bancaires, le code PIN de sa carte de débit, les numéros de sa carte PAN et ses identifiants bancaires en ligne, qui sont ensuite transmis à un serveur de commande et de contrôle (C2) contrôlé par l’acteur et à un numéro de téléphone codé en dur.

« Une fois que tous les détails demandés sont soumis, une note suspecte apparaît, indiquant que les détails sont en cours de vérification pour mettre à jour le KYC », ont déclaré les chercheurs. « L’utilisateur est invité à attendre 30 minutes et à ne pas supprimer ou désinstaller l’application. En outre, l’application a la capacité de masquer son icône, ce qui la fait disparaître de l’écran d’accueil de l’appareil de l’utilisateur tout en continuant à fonctionner en arrière-plan. »

Un autre aspect notable du logiciel malveillant est qu’il demande à l’utilisateur de lui accorder l’autorisation de lire et d’envoyer des messages SMS, ce qui lui permet d’intercepter des mots de passe à usage unique (OTP) et d’envoyer les messages des victimes au numéro de téléphone de l’acteur de la menace par SMS. Des variantes de l’attaque découverte par Microsoft ont également été découvertes, exposant des utilisateurs peu méfiants. Cependant, pour ces attaques, les utilisateurs devront . « Les infections par des chevaux de Troie bancaires mobiles peuvent présenter des risques importants ». Ce développement intervient alors que les utilisateurs de Roblox sont la cible d’une attaque de la part de . Le mois dernier, Doctor Web a découvert plusieurs applications malveillantes sur les publicités intrusives (HiddenAds), le consentement des utilisateurs abonnés (Joker), les logiciels d’escroquerie à l’investissement (FakeApp).L’assaut des logiciels malveillants Android a incité Google à annoncer de nouvelles fonctionnalités de sécurité analyse en temps réel au niveau du code pour les applications précédemment scannées Google Play Protect.

Fin octobre 2023, Samsung a dévoilé une nouvelle option Auto Blocker pour les appareils Galaxy qui empêche les installations d’applications à partir de sources autres que Google Play Store et Galaxy Store, et bloque les commandes nuisibles et les installations de logiciels par le biais du port USB.

Dans le cadre d’un projet de recherche sur la sécurité, Samsung a également lancé une option de blocage automatique pour les appareils Galaxy.

Suite à la publication de l’article, un porte-parole de Google a fait la déclaration suivante à The Hacker News:

« Les utilisateurs ont le droit d’utiliser les logiciels de Google Play et d’autres sources dignes de confiance.