Les chercheurs en cybersécurité mettent en garde contre des « campagnes de phishing massives » qui distribuent cinq logiciels malveillants différents ciblant les utilisateurs bancaires en Inde.
« Les clients bancaires ciblés comprennent les abonnés aux comptes de sept banques, dont certaines des banques les plus connues du pays et affectant potentiellement des millions de clients », a déclaré Trend Micro. a dit dans un rapport publié cette semaine.
Certaines des banques ciblées comprennent Axis Bank, ICICI Bank et la State Bank of India (SBI), entre autres.
Les chaînes d’infection ont toutes un point d’entrée commun en ce sens qu’elles s’appuient sur des messages SMS contenant un lien de phishing qui incitent les victimes potentielles à entrer leurs données personnelles et les informations de leur carte de crédit pour soi-disant obtenir un remboursement d’impôt ou gagner des points de récompense de carte de crédit.
Les attaques par smishing, qui livrent Elibomi, FakeReward, AxBanker, IcRAT et IcSpy, ne sont que les dernières d’une série de campagnes de logiciels malveillants similaires sur le thème des récompenses qui ont été documentées par Microsoft, Cyble et Laboratoires K7 au cours de l’année écoulée.
Élibomi, premier documenté par McAfee en septembre 2021, est conçu pour voler des données personnelles, prendre des captures d’écran et même capturer le code ou le schéma de l’écran de verrouillage en abusant des autorisations de l’API d’accessibilité d’Android, lui permettant de prendre le contrôle des appareils compromis.
Le logiciel malveillant mobile a subi de nombreuses révisions, avec une nouvelle variante d’Elibomi appelée Drinik observée se faisant passer pour le département de l’impôt sur le revenu de l’Inde pour cibler les utilisateurs de 18 banques différentes.
« Elibomi implémente une superposition en ajoutant une vue à la fenêtre actuelle comme technique d’évasion des utilisateurs, au lieu d’avoir une superposition sur d’autres applications telles que les applications bancaires pour voler les informations d’identification des utilisateurs », ont déclaré les chercheurs.
Dans le même ordre d’idées, les chevaux de Troie bancaires FakeReward et AxBanker, une fois installés, invitent la victime à lui accorder des autorisations d’accès aux SMS et aux notifications, qui sont ensuite exploitées pour exfiltrer les SMS entrants. AxBanker affiche en outre de fausses pages pour siphonner les informations de carte de crédit.
Les applications elles-mêmes sont livrées via des sites Web de phishing avec des noms de domaine similaires à ceux de leurs homologues légitimes, en plus de réutiliser les logos de la marque pour augmenter la probabilité d’une attaque réussie et inciter l’utilisateur à télécharger l’application malveillante pour obtenir des « points de récompense instantanés ». «
Malgré la similitude des données volées et des thèmes de phishing, Trend Micro a déclaré qu’il n’y avait aucune preuve concrète liant toutes ces familles de logiciels malveillants à un seul acteur de la menace.
« Alors qu’aucun autre client en dehors de l’Inde n’a été ciblé par ces familles de logiciels malveillants, les campagnes de phishing dans le pays ont considérablement augmenté et deviennent de plus en plus aptes à évasion de détection« , a noté Trend Micro.
« L’une des raisons possibles de cette hausse est le nombre croissant de nouveaux acteurs menaçants entrant sur le marché souterrain indien, apportant avec eux des modèles commerciaux rentables et interagissant avec d’autres acteurs malveillants pour apprendre, échanger des idées et établir des connexions. »
