Zanubis Android, un cheval de Troie bancaire ?
- par Kenan
- , le 3 octobre 2023
- 0 h 31 min
Un nouveau cheval de Troie bancaire Android appelé Zanubis se fait passer pour une application du gouvernement péruvien afin d’inciter les utilisateurs peu méfiants à installer le logiciel malveillant.
« Le principal mode d’infection de Zanubis consiste à se faire passer pour une application Android péruvienne légitime, puis à inciter l’utilisateur à activer les autorisations d’accessibilité afin de prendre le contrôle total de l’appareil », explique Kaspersky dans une analyse publiée la semaine dernière.
Zanubis, initialement documenté en août 2022, est le dernier ajout à une longue liste de logiciels malveillants de banquier Android ciblant la région de l’Amérique latine (LATAM). Les cibles comprennent plus de 40 banques et entités financières au Pérou.
Il est principalement connu pour abuser des permissions d’accessibilité sur l’appareil infecté afin d’afficher de faux écrans superposés aux applications ciblées dans le but de voler des informations d’identification. Il est également capable de récolter des données de contact, la liste des applications installées et des métadonnées système.
Kaspersky a déclaré avoir observé des échantillons récents de Zanubis dans la nature en avril 2023, opérant sous l’apparence de l’agence péruvienne des douanes et des impôts appelée Superintendencia Nacional de Aduanas y de Administración Tributaria (SUNAT).
L’installation de l’application et les autorisations d’accès qui lui sont accordées lui permettent de fonctionner en arrière-plan et de charger le site web authentique de la SUNAT à l’aide du WebView d’Android afin de créer un vernis de légitimité. Elle maintient des connexions avec un serveur contrôlé par un acteur afin de recevoir les commandes de l’étape suivante par le biais de WebSockets.
Les autorisations sont ensuite exploitées pour surveiller les applications ouvertes sur l’appareil et les comparer à une liste d’applications ciblées. Si une application figurant sur la liste est lancée, Zanubis procède à l’enregistrement des frappes au clavier ou à l’enregistrement de l’écran afin de siphonner des données sensibles.
Ce qui distingue Zanubis et le rend plus puissant, c’est sa capacité à prétendre qu’il s’agit d’une mise à jour du système d’exploitation Android, rendant ainsi l’appareil inutilisable.
« Pendant que la ‘mise à jour’ s’exécute,