images 91
mai 22, 2020 Par bourse 0

Le logiciel malveillant bancaire le plus puissant reçoit des mises à jour qui permettent aux pirates de mieux contrôler les appareils infectés

Anubis, l'un des logiciels malveillants bancaires les plus puissants, a reçu des fonctionnalités supplémentaires qui permettront aux pirates de mieux contrôler les appareils infectés. Des fonctionnalités supplémentaires permettent aux cybercriminels de fonctionner en silence sans que les utilisateurs soient conscients de leur activité suspecte. Les nouvelles fonctionnalités mises à jour donneront aux pirates la possibilité d'inspecter les appareils et d'attendre le bon moment pour attaquer. Par exemple, une fonctionnalité supplémentaire permet aux pirates de détecter lorsque l'utilisateur regarde le téléphone, les empêchant ainsi d'effectuer ouvertement des activités nuisibles. Les chercheurs en sécurité ont découvert plus de 17 000 nouveaux échantillons Anubis ciblant plus de 377 applications bancaires réparties dans 93 pays, dont les États-Unis, l'Europe et l'Inde.

Fonctionnement des logiciels malveillants bancaires Anubis

Le cheval de Troie bancaire Anubis cible les smartphones exécutant le système d'exploitation Android. Le malware infecte les appareils mobiles des utilisateurs en les incitant à télécharger des applications Anubis déguisées en d'autres applications populaires, comme un jeu. La plupart des infections se produisent lorsque les utilisateurs d'Android téléchargent des applications non fiables à partir de magasins tiers où la sécurité est laxiste. Les développeurs de logiciels malveillants bancaires ont récemment persisté dans leurs efforts pour introduire des applications malveillantes sur le Google Play Store, mais avec un succès limité. Les chercheurs ont découvert deux applications, Currency Converter et BatterySaverMobo, qui ont été utilisées pour propager Anubis. Les acteurs de la menace incitent également les utilisateurs à télécharger des applications infectées via des campagnes de phishing après avoir volé les informations de contact des appareils infectés.

Une fois que l'utilisateur a téléchargé le cheval de Troie bancaire Android, l'application surveille l'état de l'appareil pour trouver le moment optimal pour exécuter les attaques. L'application peut détourner les codes d'authentification à deux facteurs et masquer les messages SMS OTP de l'utilisateur de l'appareil. Une autre fonctionnalité permet aux logiciels malveillants bancaires de détecter si l'appareil est en mouvement en appuyant sur le capteur de mouvement. Lorsqu'un appareil semble stationnaire depuis longtemps, les opérateurs de logiciels malveillants bancaires concluent que le smartphone fonctionne dans un bac à sable et est utilisé par les chercheurs. Par conséquent, ils s'abstiennent d'exécuter des attaques sur le périphérique infecté.

L'analyse du code source d'Anubis révèle que les logiciels malveillants bancaires manipulent les paramètres administratifs pour afficher les tâches en cours d'exécution et créer une porte dérobée via Virtual Network Computing (VNC). En plus de voler les informations d'identification bancaires, ces autorisations permettent également à l'application d'enregistrer de l'audio, d'accéder à la liste de contacts pour envoyer du spam, envoyer des SMS et passer des appels téléphoniques. L'application de logiciels malveillants bancaires contient également un composant ransomware, appelé AnubisCrypt, capable de crypter des fichiers sur le stockage interne et SD. Vous pouvez également recevoir des commandes à partir d'applications de médias sociaux comme Twitter, qui est la méthode la plus courante pour envoyer des commandes via des raccourcis. Ces commandes sont utilisées pour envoyer des données aux commandes et contrôler les serveurs C2 situés dans le monde entier, permettant aux criminels de lancer des commandes à partir d'un large éventail d'emplacements.

Avant de continuer à lire, que diriez-vous d'un suivi sur LinkedIn?

TJ Short, vice-président des opérations de sécurité de Cerberus Sentinel, explique que le cheval de Troie utilise des méthodes intelligentes pour tromper les utilisateurs.

«Cependant, la caractéristique la plus intéressante est qu'une fois que vous vous connectez à votre banque, terminez votre MFA et terminez votre activité bancaire, elle sera activée. Par conséquent, lorsque vous avez terminé la transaction, vous gardez le tunnel qui a déjà passé les exigences MFA ouvert. Une fausse "transaction a terminé jpeg" apparaîtra pour vous de voir. À ce stade, il contactera le serveur C2 et agira comme une passerelle proxy qui permettra à l'attaquant d'accéder à ses informations financières. "

Nouvelles fonctionnalités à venir sur le cheval de Troie bancaire Anubis

Les opérateurs de logiciels malveillants bancaires Anubis travaillent sur des fonctionnalités qui fourniront aux attaquants plus d'informations sur les appareils infectés.

Un ajout récent au tableau de bord Web des logiciels malveillants bancaires est l'icône du globe oculaire. Cette fonctionnalité permet aux pirates de savoir quand l'utilisateur de l'appareil regarde l'écran. En détectant l'activité des utilisateurs, les pirates peuvent éviter d'effectuer des activités malveillantes sur le smartphone sous les regards indiscrets du propriétaire du smartphone.

Les acteurs de la menace travaillent également à l'intégration de cartes Yandex dans des logiciels malveillants bancaires pour déchiffrer l'emplacement du téléphone infecté. Cependant, ce nouvel ajout n'est qu'une fonctionnalité pratique, car les opérateurs de logiciels malveillants bancaires peuvent détecter l'emplacement de l'appareil infecté en utilisant d'autres moyens, tels que le réseau mobile connecté à l'appareil.

Nouvelles applications pour les chevaux de Troie bancaires

Bien sûr, Anubis n'est pas le seul nouveau malware malveillant passionnant. Les chercheurs de Cybereason Nocturnus ont récemment découvert une nouvelle application de cheval de Troie bancaire qui peut voler des informations bancaires et financières ciblant les utilisateurs d'Android en mars 2020. Le nouveau cheval de Troie, appelé EventBot, cible plus de 200 applications comme PayPal Business, applications bancaires qui appartiennent à des institutions financières telles que Revolut et Barclays, et à d'autres applications financières telles que TransferWise et CoinBase entre autres. Le cheval de Troie bancaire est destiné aux utilisateurs des États-Unis et des pays européens tels que le Royaume-Uni, l'Allemagne, la France, l'Espagne, la Suisse et l'Italie. Comme Anubis, EventBot est actuellement distribué via des magasins d'applications tiers non autorisés et des URL malveillantes.

Une fois téléchargé, EventBot accumule une carte blanche d'autorisations, y compris le lancement au démarrage et le maintien d'un processus d'arrière-plan persistant qui permet à l'application de surveiller en permanence le smartphone. Le cheval de Troie empêche également le téléphone de dormir et ignore les paramètres d'optimisation de la batterie. EventBot prend également le contrôle des services d'accessibilité Android pour exécuter un enregistreur de frappe, recevoir des notifications et récupérer le contenu des fenêtres ouvertes. Bien qu'elle soit encore au stade de développement, l'application peut constituer une menace plus importante pour les services bancaires mobiles par rapport à Anubis.

Les cybercriminels ont découvert une cible lucrative dans l'industrie des services bancaires mobiles et du shopping Android. Malgré les efforts de Google pour garder les applications malveillantes hors du Play Store, les acteurs de la menace sont toujours en mesure de distribuer les applications via des magasins tiers. C'est peut-être le moment où Google devrait reconsidérer l'autorisation d'installer des applications via des sources peu fiables.