Une nouvelle vague de chevaux de Troie vise les portefeuilles cryptographiques et les applications bancaires

Les chercheurs en cybersécurité ont identifié quatre familles actives de logiciels malveillants Android ciblant plus de 800 applications, y compris des portefeuilles de cryptomonnaies et des applications bancaires.
Ces malwares utilisent des méthodes que la plupart des outils de sécurité traditionnels ne peuvent pas détecter.

L’équipe zLabs de Zimperium a publié des résultats suivant les chevaux de Troie connus sous les noms de RecruitRat, SaferRat, Astrinox et Massiv.

Selon les recherches de l’entreprise, chaque famille dispose de son propre réseau de commandement et de contrôle qu’elles utilisent pour voler des informations de connexion, prendre le contrôle de transactions financières et obtenir des données utilisateur à partir d’appareils infectés.

Les applications de crypto et bancaires font face à de nouvelles menaces provenant de plusieurs malwares

Les familles de malwares représentent une menace directe pour toute personne gérant des cryptos sur Android.

Une fois installés, les chevaux de Troie peuvent afficher des écrans de connexion falsifiés par-dessus de véritables applications de crypto et bancaires, volant mots de passe et autres informations privées en temps réel.
Le malware superpose ensuite une page HTML factice sur l’interface réelle de l’application, créant ce que l’entreprise a appelé « une façade très convaincante et trompeuse ».

« En utilisant les services d’accessibilité pour surveiller le premier plan, le malware détecte le moment précis où une victime lance une application financière », ont écrit des chercheurs en sécurité de Zimperium.

Selon le rapport, les chevaux de Troie peuvent faire plus que simplement voler des identifiants.
Ils peuvent aussi capturer des codes à usage unique, diffuser l’écran d’un appareil aux attaquants, cacher leurs propres icônes d’applications, et empêcher les utilisateurs de les désinstaller.

Chaque campagne utilise un appât différent pour inciter les gens à tomber dans le piège.

SaferRat se propageait en utilisant de faux sites web promettant un accès gratuit à des services de streaming premium.
RecruitRat dissimulait sa charge utile dans le cadre d’un processus de candidature à un emploi, envoyant les cibles vers des sites de phishing leur demandant de télécharger un fichier APK malveillant.

Astrinox utilisait la même méthode basée sur le recrutement, en utilisant le domaine xhire[.]cc.
Selon le dispositif utilisé pour visiter ce site, il affichait un contenu différent.

Les utilisateurs Android étaient invités à télécharger un APK, et ceux sous iOS voyaient une page ressemblant à l’App Store d’Apple.
Cependant, les chercheurs en sécurité n’ont trouvé aucune preuve que iOS ait été réellement piraté.

Il n’a pas été possible de confirmer comment Massiv a été distribué lors du cycle de recherche.

Les quatre chevaux de Troie utilisaient tous une infrastructure de phishing, des scams par SMS, et de l’ingénierie sociale exploitant la nécessité d’agir rapidement ou la curiosité des personnes pour les inciter à charger des applications nuisibles.

Les malwares de crypto échappent à la détection

Les campagnes visent à contourner les outils de sécurité.

Les chercheurs ont découvert que ces familles de malwares utilisent des techniques avancées anti-analyse et des manipulations structurelles des paquets d’applications Android (APKs) pour maintenir ce que l’entreprise a appelé « des taux de détection proches de zéro contre les mécanismes de sécurité traditionnels basés sur les signatures ».

Les communications réseau se mêlent également au trafic normal.
Les chevaux de Troie utilisent des connexions HTTPS et WebSocket pour communiquer avec leurs serveurs de commande.
Certaines versions ajoutent des couches de chiffrement supplémentaires au-dessus de ces connexions.

Un autre point important est la persistance.
Les chevaux de Troie bancaires modernes pour Android n’utilisent plus de simples infections en une étape.
Ils utilisent plutôt des processus d’installation à plusieurs étapes conçus pour contourner le modèle de permissions changeant d’Android, qui rend plus difficile pour les applications d’agir sans la permission explicite de l’utilisateur.

Le rapport n’a pas identifié de portefeuilles de crypto ou d’échanges spécifiques parmi les plus de 800 applications ciblées.
Mais en raison des attaques par superposition, de l’interception de codes d’accès, et du streaming d’écran, toute application crypto sur Android pourrait être à risque si un utilisateur installe un APK malveillant en dehors du Google Play Store.

Télécharger des applications via des liens dans des SMS, des offres d’emploi ou des sites promotionnels reste l’un des moyens garantis pour que des malwares mobiles s’introduisent dans un smartphone.

Les personnes gérant leur crypto sur des appareils Android devraient uniquement utiliser les boutiques officielles d’applications et se méfier des messages contextuels leur demandant de télécharger quelque chose.

Les esprits les plus brillants en crypto ont déjà lu notre newsletter.
Vous voulez en faire partie ? Rejoignez-les.