Des acteurs malveillants ont recours à des tactiques de phishing vocal (vishing) pour duper les victimes afin qu’elles installent des logiciels malveillants Android sur leurs appareils, nouvelle rechercher de ThreatFabric révèle.
La société néerlandaise de sécurité mobile a déclaré avoir identifié un réseau de sites Web de phishing ciblant les utilisateurs italiens de services bancaires en ligne et conçus pour obtenir leurs coordonnées.
La transmission d’attaque par téléphone (TOAD), comme on appelle la technique d’ingénierie sociale, consiste à appeler les victimes en utilisant des informations précédemment collectées sur des sites Web frauduleux.
L’appelant, qui prétend être un agent d’assistance pour la banque, ordonne à l’individu, d’autre part, d’installer une application de sécurité et de lui accorder des autorisations étendues, alors qu’en réalité, il s’agit d’un logiciel malveillant destiné à obtenir un accès à distance ou à effectuer des opérations financières. fraude.
Dans ce cas, cela conduit au déploiement d’un malware Android baptisé Copybara, un cheval de Troie mobile détecté pour la première fois en novembre 2021 et principalement utilisé pour effectuer des fraudes sur l’appareil via des attaques superposées ciblant les utilisateurs italiens. Copybara a également été confondu avec une autre famille de logiciels malveillants connue sous le nom de BRATA.
ThreatFabric a estimé que les campagnes basées sur TOAD avaient commencé à peu près au même moment, indiquant que l’activité se poursuivait depuis près d’un an.
Comme tout autre logiciel malveillant basé sur Android, les capacités RAT de Copybara sont alimentées en abusant de l’API des services d’accessibilité du système d’exploitation pour collecter des informations sensibles et même désinstaller l’application de téléchargement afin de réduire son empreinte médico-légale.
De plus, l’infrastructure utilisée par l’acteur de la menace s’est avérée fournir un deuxième malware nommé SMS Spy qui permet à l’adversaire d’accéder à tous les messages SMS entrants et d’intercepter les mots de passe à usage unique (OTP) envoyés par les banques.
La nouvelle vague d’attaques frauduleuses hybrides offre une nouvelle dimension aux escrocs pour monter des campagnes convaincantes de logiciels malveillants Android qui s’appuyaient autrement sur des méthodes traditionnelles telles que les compte-gouttes Google Play Store, les publicités malveillantes et le smishing.
« De telles attaques nécessitent plus de ressources sur [threat actors’] et sont plus sophistiqués à exécuter et à entretenir », a déclaré l’équipe Mobile Threat Intelligence (MTI) de ThreatFabric à The Hacker News.
« Nous aimons également souligner que les attaques ciblées du point de vue du succès de la fraude sont malheureusement plus efficaces, du moins dans cette campagne spécifique. »
Ce n’est pas la première fois que des tactiques TOAD sont utilisées pour orchestrer des campagnes de logiciels malveillants bancaires. Le mois dernier, l’équipe MalwareHunterTeam détaillé une attaque similaire visant les utilisateurs de la banque indienne Axis Bank dans le but d’installer un voleur d’informations qui se fait passer pour une application de récompenses de carte de crédit.
« Tout appel suspect doit être revérifié en appelant votre organisation financière », a déclaré l’équipe MTI, ajoutant que « les organisations financières doivent fournir à leurs clients des informations sur les campagnes en cours et améliorer les applications client avec des mécanismes de détection des activités suspectes ».