Des chercheurs ont découvert un nouveau malware bancaire Android qui cible le brésilien Itaú Unibanco à l’aide de pages similaires du Google Play Store pour effectuer des transactions financières frauduleuses sur les appareils des victimes à leur insu.
« Cette application a une icône et un nom similaires qui pourraient faire croire aux utilisateurs qu’il s’agit d’une application légitime liée à Itaú Unibanco », chercheurs Cyble mentionné dans un rapport publié la semaine dernière. « Le [threat actor] a créé une fausse page Google Play Store et y a hébergé le malware qui cible Itaú Unibanco sous le nom ‘sincronizador.apk.' »
La tactique consistant à tirer parti des fausses pages de l’App Store comme leurre n’est pas nouvelle. En mars, Meta (anciennement Facebook) a divulgué les détails d’une campagne d’attaque qui utilisait sa plate-forme dans le cadre d’une opération plus large pour espionner les musulmans ouïghours à l’aide de sites Web tiers malveillants qui utilisaient des répliques de domaines pour des portails d’information populaires et des sites Web conçus pour ressembler à des tiers. les magasins d’applications Android, où les attaquants placent de fausses applications de clavier, de prière et de dictionnaire qui pourraient plaire aux cibles.
Dans le dernier cas observé par Cyble, la fausse URL non seulement usurpe l’identité du marché officiel des applications Android, mais héberge également l’application Itaú Unibanco contenant des logiciels malveillants, en plus d’affirmer que l’application a été téléchargée 1 895 897.
Les utilisateurs qui installent et lancent l’application de l’imposteur à partir de la page supposée de Google Play Store sont ensuite invités à activer les services d’accessibilité ainsi que d’autres autorisations intrusives qui permettent au malware d’accéder aux notifications, de récupérer le contenu de la fenêtre et d’effectuer des gestes de tapotement et de glissement.
L’objectif du cheval de Troie, selon les chercheurs, est d’effectuer des transactions financières frauduleuses sur l’application légitime Itaú Unibanco en falsifiant les champs de saisie de l’utilisateur, rejoignant ainsi une longue liste de logiciels malveillants bancaires qui abusent de l’API d’accessibilité. Google, de son côté, a commencé à imposer nouvelles limites pour restreindre l’utilisation de telles autorisations qui permettent aux applications de capturer des informations sensibles à partir d’appareils Android.
C’est loin d’être la première fois que la société de services financiers basée à Sao Paulo est sous le radar de groupes de menaces à motivation financière. Plus tôt en avril, ESET a révélé un nouveau cheval de Troie bancaire surnommé Janeleiro qui a été observé en train de frapper les entreprises au Brésil au moins depuis 2019 dans divers secteurs tels que l’ingénierie, la santé, la vente au détail, la fabrication, la finance, les transports et le gouvernement.
« Les acteurs de la menace adaptent constamment leurs méthodes pour éviter la détection et trouvent de nouvelles façons de cibler les utilisateurs grâce à des techniques de plus en plus sophistiquées. Ces applications malveillantes se font souvent passer pour des applications légitimes pour inciter les utilisateurs à les installer », ont déclaré les chercheurs.
« Les utilisateurs ne doivent installer les applications qu’après avoir vérifié leur authenticité et les installer exclusivement à partir du Google Play Store officiel et d’autres portails de confiance pour éviter de telles attaques. »
