BrazKing Android Malware
BrazKing est un malware bancaire mobile qui effectue des attaques par superposition pour collecter les informations d'identification bancaires de ses victimes. La menace cible les appareils Android et les utilisateurs situés au Brésilmajoritairement, suggérant peut-être que ses opérateurs sont également situés dans la région. Les chercheurs d'IBM Trusteer ont mis en lumière la menace en publiant un rapport contenant leurs conclusions après analyse de plusieurs échantillons BrazKing. Jusqu'à présent, les experts sont convaincus que BrazKing est toujours en cours de développementactivement en raison des différences significatives introduites dans les versions les plus récentes de la menace.
Table des matières
Abus du service d’accessibilité d’Android
La fonction d'accessibilité est destinée à rendre l'utilisation de l'appareil mobile plus confortable pour les personnes handicapées. Cependant,les cybercriminels se sont penchés dessus et exploitent le service pour effectuer de nombreuses actions néfastes sur les appareils infectés. BrazKing s'appuie sur le service Accessibilitélargement, car cela permet à la menace de limiter le nombre d'autorisations spécifiques qui devraient être accordées par l'utilisateur. En conséquence, BrazKing demande un petit nombre d'autorisations moins suspectes.
En arrière-plan, BrazKing peut simuler des pressions sur l'écran, établir des routines d'enregistrement de frappe, agir comme un cheval de Troie d'accès à distance (RAT), intercepter et lire les SMS en capturant le texte des messages lorsqu'il est affiché à l'écran et accéder aux listes de contacts de l'utilisateur en les lire à partir de l'écran « Contacts » en silence. La menace établit également un mécanisme de persistance basé sur les fonctions du service d'accessibilité. Si les utilisateurs tentent de restaurer l'appareil infecté à ses paramètres d'usine, BrazKing simulera immédiatement un appui sur les boutons « Retour » et « Accueil ». La même technique est également utilisée pour empêcher les utilisateurs de lancer des solutions anti-malware ou d'essayer d'exécuter une analyse de l'appareil.
Vecteur d’infection
Les victimes sont amenées à installer la menace via des messages de phishing contenant l'URL d'un site Web de canular. Le site Web trompeur utilise des tactiques alarmistes telles que prétendre que l'appareil de l'utilisateur a une sécurité obsolète et qu'il va être bloqué. Pour résoudre ce problème inexistant, les utilisateurs sont invités à cliquer sur le bouton fourni qui est censé mettre à jour le système d'exploitation de l'appareil. En réalité, il livrera le malware Android BrazKing. Les utilisateurs devront toujours approuver le téléchargement car l'application provient d'une source inconnue. Par la suite, la menace essaiera d'obtenir les petites autorisations dont elle a besoin en les masquant en tant qu'exigences de Google.
Attaques superposées
Les versions antérieures de BrazKing récupéraient le faux écran de connexion pour les applications bancaires ciblées à partir d'une URL codée en dur. Des versions plus récentes se sont éloignées de cette technique pour devenir plus rationalisées, agiles et insaisissables. En effet, la menace effectue désormais un appel automatisé à son serveur Command-and-Control (C2, C&C) et demande l'écran de superposition nécessaire à la volée. Les cybercriminels déterminent désormais quand une application appropriée est lancée par la victime et quand activer le processus de saisie des informations d'identification au lieu de le laisser à une fonction automatisée au sein de la menace elle-même.
Une autre caractéristique des attaques BrazKing est qu'elles ne nécessitent pas l'autorisation "android.permission.SYSTEM_ALERT_WINDOW" approuvée par l'utilisateur. Au lieu de cela, le malware charge l'URL de l'écran de superposition dans une vue Web et l'affiche dans une fenêtre.
Les logiciels malveillants bancaires mobiles continuent d'évoluer et les utilisateurs doivent prendre les mesures nécessaires pour protéger leurs appareils et ne pas s'exposer à des risques inutiles.
