Plus de 200 applications Android malveillantes ciblent les banques iraniennes : un avertissement de la communauté des experts

Une campagne de logiciels malveillants Android ciblant les banques iraniennes a élargi ses capacités et intégré de nouvelles tactiques d’évasion pour passer inaperçue.

C’est ce que révèle un nouveau rapport de Zimperium, qui a découvert plus de 200 applications malveillantes associées à l’opération malveillante, l’acteur de la menace ayant également mené des attaques de phishing contre les institutions financières ciblées.

La campagne a été révélée pour la première fois à la fin du mois de juillet 2023, lorsque Sophos a décrit un groupe de 40 applications de collecte d’informations d’identification ciblant les clients de la Banque Mellat, de la Banque Saderat, de la Banque Resalat et de la Banque centrale d’Iran.

L’objectif principal de ces fausses applications est d’inciter les victimes à leur accorder des autorisations étendues et de collecter les identifiants bancaires et les détails des cartes de crédit en abusant des services d’accessibilité d’Android.

« Les versions légitimes correspondantes des applications malveillantes sont disponibles sur Cafe Bazaar, une place de marché Android iranienne, et comptent des millions de téléchargements », a déclaré à l’époque Pankaj Kohli, chercheur chez Sophos. « Les imitations malveillantes, en revanche, pouvaient être téléchargées à partir d’un grand nombre de domaines relativement nouveaux, dont certains étaient également utilisés par les acteurs de la menace comme serveurs C2. »

Il est intéressant de noter que certains de ces domaines ont également été observés pour servir des pages d’hameçonnage HTML conçues pour voler les informations d’identification des utilisateurs mobiles. Les dernières découvertes de Zimperium illustrent l’évolution continue de la menace, non seulement en termes d’un ensemble plus large de banques ciblées et d’applications de portefeuilles de crypto-monnaies, mais aussi en incorporant des caractéristiques précédemment non documentées qui la rendent plus puissante. Il s’agit notamment de l’utilisation d’un service d’accessibilité pour lui accorder des autorisations supplémentaires afin d’intercepter les messages SMS, d’empêcher la désinstallation et de cliquer sur des éléments de l’interface utilisateur. Certaines variantes ont également été trouvées pour accéder à un fichier README dans les dépôts GitHub pour extraire une version codée en Base64 du serveur de commande et de contrôle (C2) et des URL d’hameçonnage. « Cela permet aux attaquants de réagir rapidement lorsque les sites de phishing sont supprimés en mettant à jour le dépôt GitHub, ce qui garantit que les applications malveillantes obtiennent toujours le dernier site de phishing actif », ont déclaré Aazim Yaswant et Vishnu Pratapagiri, chercheurs chez Zimperium. Une autre tactique remarquable est l’utilisation de serveurs C2 intermédiaires qui hébergent des fichiers texte contenant des chaînes codées pointant vers des sites de phishing. Bien que la campagne ait jusqu’à présent concentré ses efforts sur Android, il semble que le système d’exploitation iOS d’Apple soit également une cible potentielle, car les sites de phishing vérifient si la page est ouverte par un appareil iOS et, si c’est le cas, dirigent le site web de la victime vers une version iOS de l’application Saderat Iran de la Banque. On ne sait pas encore si la campagne iOS est en cours de développement ou si les applications sont distribuées par une source non encore identifiée. Les campagnes d’hameçonnage ne sont pas moins sophistiquées : elles se font passer pour de véritables sites web, exfiltrent des informations d’identification, des numéros de compte, des modèles d’appareils, des adresses IP, des canaux Telegram contrôlés par deux acteurs… « Il est évident que les logiciels malveillants modernes deviennent de plus en plus sophistiqués, que les cibles s’élargissent et que la protection de la visibilité de l’exécution est donc cruciale pour les applications mobiles », ont déclaré les chercheurs. Ce développement intervient un peu plus d’un mois après que Fingerprint a démontré une méthode permettant aux applications Android malveillantes d’accéder furtivement aux données du presse-papiers en exploitant la permission SYSTEM_ALERT_WINDOW pour masquer la notification de toast qui s’affiche lorsqu’une application particulière lit les données du presse-papiers. « Il est possible d’afficher un toast différent ou de masquer complètement le toast d’origine pour empêcher l’utilisateur d’être informé des actions du presse-papiers », a déclaré Fingerprint. « Toute application disposant de la permission SYSTEM_ALERT_WINDOW peut lire les données du presse-papiers sans en avertir l’utilisateur. » Découvrez comment la modélisation comportementale automatisée de la réponse à la détection d’application peut révolutionner votre posture de défense. Vous êtes-vous déjà demandé pourquoi l’ingénierie sociale fonctionne si bien ? Décodons l’esprit d’un cyber-attaquant.

Inscrivez-vous gratuitement et commencez à recevoir votre dose quotidienne d’actualités, d’idées et de conseils en matière de cybersécurité.