Cheval de Troie bancaire Bizarro

Un nouveau cheval de Troie bancaire Android sophistiqué est exploité contre les utilisateurs en Europe et en Amérique du Sud. La menace s'appelait Bizarro et appartient au groupe des chevaux de Troie bancaires brésiliens. Au lieu d'opérer localement comme c'est généralement le cas, Bizarro a été lancé à l'échelle mondiale avec une concentration plus élevée sur les utilisateurs situés en Argentine, au Chili, en Allemagne, en France, en Italie, en Espagne et au Portugal.

L'objectif de l'acteur de la menace est d'obtenir des informations d'identification bancaires en ligne à partir des appareils Android compromis, ainsi que de détourner des portefeuilles Bitcoin. Plus de 70 banques sont ciblées par le cheval de Troie Bizarro Banking. Il se propage à travers des packages Microsoft Installer qui sont soit fournis via des liens dans des e-mails de spam, soit abandonnés par des applications militarisées.

Une fois que Bizarro a été livré sur l'appareil Android de l'utilisateur, il procédera à la suppression de tous les processus de navigateur actuellement actifs. L'objectif est d'arrêter toutes les sessions potentielles avec des sites Web bancaires qui pourraient être en cours d'exécution pour le moment. La victime sera alors obligée de saisir à nouveau ses identifiants bancaires, mais cette fois, le logiciel malveillant tentera de récolter des informations. Pour augmenter ses chances de succès, Bizarro prend les étapes supplémentaires de désactivation de la saisie semi-automatique et de génération de fausses fenêtres contextuelles pour intercepter les codes d'authentification à deux facteurs. Le cheval de Troie bancaire est également doté de capacités de capture d'écran. L'aspect le plus menaçant et ce qui distingue Bizarro de la plupart des autres chevaux de Troie bancaires est son module de porte dérobée à part entière.

Une puissante fonctionnalité de porte dérobée

Le module de porte dérobée de Bizarro peut reconnaître et exécuter plus de 100 commandes différentes. Cependant, la porte dérobée ne s'active pas immédiatement. Il attend qu'une connexion à un système bancaire en ligne correspondant à une liste de chaînes codées en dur ait été détectée. Ce n'est qu'ensuite que les composants de base de la porte dérobée sont activés. En général, l'acteur de la menace pourra obtenir des données sur le système de la victime; rechercher, exfiltrer ou télécharger des fichiers sur le système; prendre le contrôle des périphériques d'entrée tels qu'une souris ou un clavier; afficher des messages de phishing tels que de fausses fenêtres contextuelles.

Bizarro peut télécharger des images JPEG contenant certains logos bancaires et des instructions permettant aux victimes d'imiter certains systèmes bancaires en ligne. Les images sont extraites du serveur Command-and-Control (C2, C&C) et sont stockées dans le répertoire de profil de l'utilisateur sous une forme cryptée. Le malware peut également afficher des messages personnalisés. Ce faisant, Bizarro peut geler efficacement le périphérique compromis. Pendant que le message personnalisé est affiché, les utilisateurs ne pourront pas le fermer ni même ouvrir le Gestionnaire des tâches. En même temps, l'écran sera grisé et la barre des tâches masquée.

L'opération Bizarro semble être assez sophistiquée, l'acteur menaçant employant divers affiliés et mules pour effectuer différentes actions. Celles-ci peuvent aller de la simple aide à la traduction aux programmes de blanchiment d'argent ou à la facilitation des attaques initiales contre les appareils des utilisateurs.