Posté le septembre 30, 2021 à 8:03
DES HACKERS LANCENT DEUX APPLICATIONS QUI VOLENT LES DONNÉES DES APPLICATIONS BANCAIRES
Des chercheurs ont détecté deux nouvelles applications Android malveillantes qui sont disponibles sur le Google Play Store. Ces applications malveillantes sont utilisées pour cibler les utilisateurs brésiliens inscrits sur la plateforme de paiement instantané du pays.
Selon les rapports, cette application malveillante est utilisée pour inciter les victimes à transférer de l’argent de leurs comptes bancaires vers un compte bancaire lié aux cybercriminels. Les investisseurs se retrouvent ainsi avec des pertes importantes.
Utilisation de différentes variantes du logiciel malveillant
Le rapport indique également que les hackers ont utilisé différents types de logiciels malveillants dans le but de frauder les utilisateurs.
Une analyse menée par Check Point indique que « les attaquants ont distribué deux variantes différentes de logiciels malveillants bancaires, nommées PixStealer et MalRhino, par le biais de deux applications malveillantes distinctes pour mener à bien leurs attaques. »
« Les deux applications malveillantes ont été conçues pour voler l’argent des victimes par le biais d’une interaction avec l’utilisateur et l’application PIX originale », ajoute le rapport. Depuis que le logiciel malveillant a été détecté, les deux applications ont été supprimées de l’app store.
Plateforme de paiements Pix
La plateforme de paiements Pix du Brésil a été créée en novembre 2020. Elle a été créée par la Banque centrale du Brésil, l’organisme de réglementation du pays qui surveille le système monétaire et réglemente les institutions financières.
Créé et réglementé par la Banque centrale du Brésil, Pix fonctionne comme une plateforme de paiement publique qui permet aux particuliers et aux entreprises de transférer de l’argent depuis leurs comptes bancaires sans avoir à utiliser des cartes de débit ou de crédit. En raison de la commodité qu’elle offre, cette plateforme est devenue très populaire auprès des Brésiliens.
Cependant, la popularité de cette plateforme a également attiré certains acteurs de la menace qui cherchent un moyen de frauder le nombre croissant de personnes qui l’utilisent, notamment avec la pandémie de Covid-19 qui a rendu les paiements numériques plus populaires.
Lorsque le logiciel malveillant PixStealer a été détecté pour la première fois, il était distribué sur le Play Store sous la forme d’une fausse application du service Cashback de PagBank. Le logiciel malveillant a été créé pour permettre aux hackers d’accéder au compte bancaire de la victime et d’y dérober des fonds en prenant le contrôle total du compte.
L’autre outil utilisé par ces hackers est le MalRhino. Cet outil se déguise en une application de jeton mobile créée par l’Inter-banque du Brésil. L’outil est doté d’un large éventail de fonctionnalités avancées qui lui donnent accès à l’appareil de la victime. Ainsi, l’application peut accéder aux détails concernant les applications installées sur l’appareil. En outre, elle peut également récupérer les codes PIN de différentes banques.
Les chercheurs ont également déclaré que « lorsqu’un utilisateur ouvre son application bancaire PIX, Pixstealer montre à la victime une fenêtre superposée, où l’utilisateur ne peut pas voir les mouvements de l’attaquant. Derrière la fenêtre superposée, l’attaquant récupère la somme d’argent disponible et transfère l’argent, souvent la totalité du solde du compte, vers un autre compte. »
PixStealer et MalRhino ont été associés aux mêmes caractéristiques car ils abusent tous deux de la fonction d’accessibilité disponible sur les appareils Android. Cela leur permet de compromettre l’appareil en menant diverses actions malveillantes.
Cependant, ce ne sont pas les deux seules applications qui se déguisent en véritable plateforme pour ensuite voler les données des appareils des utilisateurs. Les logiciels malveillants mobiles sont devenus très courants, et les hackers ont mis au point des moyens qu’ils peuvent utiliser pour pénétrer furtivement dans les appareils tout en évitant d’être détectés par les utilisateurs.
Une fois le dispositif installé, il simule un processus de superposition qui détourne toutes les opérations du téléphone, et l’écran du téléphone est rempli du message « Synchronisation de votre accès… N’éteignez pas votre écran mobile ». Cependant, pendant ce temps, l’application fonctionne en arrière-plan et recherche une fonction de transfert qui permettra d’effectuer des transactions à l’aide des API d’accessibilité.
Parmi les deux logiciels malveillants, le MalRhino a suscité l’intérêt car il utilise le framework Rhino JS de Mozilla. Cela permet au logiciel malveillant d’exécuter des commandes JavaScript sur les applications bancaires de l’appareil. Cependant, il n’exécutera ces commandes que si l’utilisateur a fourni des services d’accessibilité à l’appareil.
Le chercheur a en outre déclaré que cette technique n’est pas courante sur les appareils mobiles. Cependant, il a montré que les acteurs de la menace explorent des moyens innovants pour éviter la détection lors de l’infiltration du Google Play Store.
« Avec l’abus croissant du service d’accessibilité par les logiciels malveillants de banque mobile, les utilisateurs doivent faire attention à la validation des autorisations pertinentes, même dans les applications disponibles sur des magasins d’applications réputés tels que Google Play », ajoute l’étude.
