Les chercheurs en cybersécurité ont découvert aujourd’hui une nouvelle souche de logiciels malveillants bancaires qui cible non seulement les applications bancaires, mais vole également les données et les informations d’identification des réseaux sociaux, des rencontres et des applications de crypto-monnaie – au total, 337 applications Android non financières figurent sur sa liste de cibles.
Doublé « Roche noire« par les chercheurs de ThreatFabric, qui ont découvert le cheval de Troie en mai, son code source est dérivé d’une version divulguée du logiciel malveillant bancaire Xerxes, qui est lui-même une souche du cheval de Troie bancaire LokiBot Android qui a été observé pour la première fois au cours de la période 2016-2017.
Ses principales fonctionnalités sont le vol d’informations d’identification des utilisateurs, l’interception de messages SMS, le détournement de notifications et même l’enregistrement de frappes sur les applications ciblées, en plus de pouvoir se cacher des logiciels antivirus.
« Non seulement le [BlackRock] Le cheval de Troie subit des modifications dans son code, mais est également livré avec une liste de cibles accrue et est en cours depuis plus longtemps « , a déclaré ThreatFabric.
« Il contient un nombre important d’applications sociales, de réseautage, de communication et de rencontres [that] n’ont pas été observés dans les listes cibles d’autres chevaux de Troie bancaires existants. «
BlackRock effectue la collecte de données en abusant des privilèges du service d’accessibilité d’Android, pour lesquels il demande les autorisations des utilisateurs sous le couvert de fausses mises à jour Google lors de son premier lancement sur l’appareil, comme le montrent les captures d’écran partagées.
Par la suite, il s’octroie des autorisations supplémentaires et établit une connexion avec un serveur de commande et de contrôle (C2) à distance pour mener à bien ses activités malveillantes en injectant des superpositions sur les écrans de connexion et de paiement des applications ciblées.
Ces superpositions de vol d’informations d’identification ont été trouvées sur les applications bancaires fonctionnant en Europe, en Australie, aux États-Unis et au Canada, ainsi que sur les applications de shopping, de communication et d’entreprise.
« La liste cible des applications non financières contient des applications célèbres telles que, mais sans s’y limiter, Tinder, TikTok, PlayStation, Facebook, Instagram, Skype, Snapchat, Twitter, Grinder, VK, Netflix, Uber, eBay, Amazon, Reddit et Tumblr, « Les chercheurs ont déclaré à The Hacker News.
Ce n’est pas la première fois qu’un logiciel malveillant mobile abuse des fonctionnalités d’accessibilité d’Android.
Plus tôt cette année, les chercheurs d’IBM X-Force ont détaillé une nouvelle campagne TrickBot, appelée TrickMo, qui a été trouvée ciblant exclusivement les utilisateurs allemands avec des logiciels malveillants qui abusaient des fonctionnalités d’accessibilité pour intercepter les mots de passe à usage unique (OTP), le TAN mobile (mTAN) et l’authentification pushTAN codes.
Puis, en avril, Cybereason a découvert une classe différente de logiciels malveillants bancaires, connue sous le nom d’EventBot, qui exploitait la même fonctionnalité pour exfiltrer les données sensibles des applications financières, lire les messages SMS des utilisateurs et détourner les codes d’authentification à deux facteurs basés sur SMS.
Ce qui rend la campagne de BlackRock différente, c’est l’ampleur des applications ciblées, qui vont au-delà des applications bancaires mobiles qui sont généralement ciblées.
« Après Alien, Eventbot et BlackRock, nous pouvons nous attendre à ce que les acteurs de la menace motivés par la finance construisent de nouveaux chevaux de Troie bancaires et continuent d’améliorer les existants », ont conclu les chercheurs de ThreatFabric.
« Avec les changements que nous prévoyons d’apporter aux chevaux de Troie bancaires mobiles, la frontière entre les logiciels malveillants bancaires et les logiciels espions se réduit, [and] les logiciels malveillants bancaires constitueront une menace pour un plus grand nombre d’organisations. «
