Un nouveau cheval de Troie bancaire Android a jeté son dévolu sur les institutions financières brésiliennes pour qu’elles commettent une fraude en exploitant la plateforme de paiement PIX.

La société italienne de cybersécurité Cleafy, qui a découvert le malware entre fin 2022 et début 2023, le traque sous le nom de PixPirate.

« PixPirate appartient à la dernière génération de chevaux de Troie bancaires Android, car il peut effectuer ATS (Système de transfert automatique), permettant aux attaquants d’automatiser l’insertion d’un transfert d’argent malveillant sur la plateforme de paiement instantané Pix, adoptée par plusieurs banques brésiliennes », ont déclaré les chercheurs Francesco Iubatti et Alessandro Strino. a dit.

Il s’agit également du dernier ajout d’une longue liste de logiciels malveillants bancaires Android à abuser de l’API des services d’accessibilité du système d’exploitation pour exécuter ses fonctions néfastes, notamment la désactivation de Google Play Protect, l’interception des messages SMS, la prévention de la désinstallation et la diffusion de publicités malveillantes via des notifications push.

En plus de voler les mots de passe saisis par les utilisateurs sur les applications bancaires, les acteurs de la menace à l’origine de l’opération ont exploité l’obscurcissement du code et le cryptage à l’aide d’un framework appelé Auto.js pour résister aux efforts d’ingénierie inverse.

Les applications de compte-gouttes utilisées pour fournir PixPirate se présentent sous la forme d’applications d’authentification. Rien n’indique que les applications ont été publiées sur le Google Play Store officiel.

Les résultats surviennent plus d’un mois après que ThreatFabric a divulgué les détails d’un autre logiciel malveillant appelé BrasDex qui est également doté de capacités ATS, en plus d’abuser de PIX pour effectuer des transferts de fonds frauduleux.

« L’introduction de capacités ATS associées à des frameworks qui aideront au développement d’applications mobiles, utilisant des langages flexibles et plus répandus (réduisant la courbe d’apprentissage et le temps de développement), pourrait conduire à des logiciels malveillants plus sophistiqués qui, à l’avenir, pourraient être comparés à leurs homologues du poste de travail », ont déclaré les chercheurs.

Le développement intervient également alors que Cyble a mis en lumière un nouveau cheval de Troie d’accès à distance Android nommé Gigabud RAT ciblant les utilisateurs en Thaïlande, au Pérou et aux Philippines depuis au moins juillet 2022 en se faisant passer pour des applications bancaires et gouvernementales.

« Le RAT a des fonctionnalités avancées telles que l’enregistrement d’écran et l’abus des services d’accessibilité pour voler des informations d’identification bancaires », ont déclaré les chercheurs. a ditnotant son utilisation des sites de phishing comme vecteur de diffusion.

La société de cybersécurité en outre révélé que les acteurs de la menace derrière le marché InTheBox darknet annoncent un catalogue de 1 894 injections Web compatibles avec divers logiciels malveillants bancaires Android tels que Alien, Cerberus, ERMAC, Hydra et Octo.

Les modules d’injection Web, principalement utilisés pour collecter des informations d’identification et des données sensibles, sont conçus pour distinguer les services bancaires, les services de paiement mobile, les échanges de crypto-monnaie et les applications de commerce électronique mobile couvrant l’Asie, l’Europe, le Moyen-Orient et les Amériques.

Mais dans une tournure plus inquiétante, les applications frauduleuses ont trouvé un moyen de contourner les défenses de l’App Store d’Apple et de Google Play pour perpétrer ce qu’on appelle une escroquerie de boucherie appelée CryptoRom.

La technique consiste à utiliser des méthodes d’ingénierie sociale telles que l’approche des victimes via des applications de rencontres comme Tinder pour les inciter à télécharger des applications d’investissement frauduleuses dans le but de voler leur argent.

Les applications iOS malveillantes en question sont Ace Pro et MBM_BitScan, qui ont depuis été supprimées par Apple. Une version Android de MBM_BitScan a également été supprimée par Google.

La société de cybersécurité Sophos, qui a fait la découverte, a déclaré que les applications iOS comportaient une « technique d’évasion d’examen » qui permettait aux auteurs de logiciels malveillants de passer le processus de vérification.

« Les deux applications que nous avons trouvées utilisaient du contenu distant pour fournir leur fonctionnalité malveillante – un contenu qui était probablement caché jusqu’à la fin de l’examen de l’App Store », a déclaré Jagadeesh Chandraiah, chercheur chez Sophos. a dit.

Les escroqueries à l’abattage de porcs ont commencé en Chine et à Taïwan, et se sont depuis étendues à l’échelle mondiale ces dernières années, avec un grande partie des opérations menées à partir de zones économiques spéciales au Laos, au Myanmar et au Cambodge.

En novembre 2022, le ministère américain de la Justice (DoJ) a annoncé le retrait de sept noms de domaine dans le cadre d’une escroquerie de crypto-monnaie de boucherie de porc qui a rapporté aux acteurs criminels plus de 10 millions de dollars de cinq victimes.