Elibomi Android Malware

Description de Elibomi Android Malware

Une nouvelle famille de logiciels malveillants d'hameçonnage pour Android a été détectée comme étant utilisée dans des attaques en direct par des cybercriminels. La menace a été découverte par les chercheurs qui l'ont nommée Elibomi. La menace s'appuie sur des tactiques d'ingénierie sociale et de fausses applications Android pour collecter des informations auprès de ses victimes et les exfiltrer vers des serveurs sous le contrôle des pirates.

Première attaque d'Elibomi

La première attaque impliquant la menace Elibomi a eu lieu fin 2020. Les acteurs de la menace ont livré une fausse application de « certificat informatique » aux appareils de leurs victimes. L'application militarisée imitait un module de gestion de certificats informatiques qui prétendait valider l'appareil avec un serveur inexistant. L'application demande à recevoir des autorisations SMS, ainsi que des privilèges d'administrateur. Ce dernier est probablement abusé pour rendre toute tentative de suppression plus difficile. Alors que les victimes se voient présenter un « analyse de sécurité » fictive en arrière-plan, l'application collecte des informations sensibles telles que des e-mails, des numéros de téléphone, des messages SMS/MMS stockés, etc.

Deuxième attaque d'Elibomi

La campagne la plus récente qui a déployé la menace Elibomi visait les contribuables indiens. Les pirates ont changé l'identité de leur fausse application et celle-ci était désormais présentée comme une application de déclaration fiscale. L'attaque commence par la diffusion de messages SMS ciblés prétendant provenir du département indien de l'impôt sur le revenu. Pour paraître plus légitimes, les messages leurres mentionnent les noms des individus ciblés. L'objectif à ce stade est d'amener la victime à cliquer sur le lien fourni sous le faux prétexte qu'il y a eu une mise à jour urgente de ses remboursements d'impôt sur le revenu.

Les liens corrompus mènent à une page de phishing qui prétend à nouveau appartenir au département indien de l'impôt sur le revenu. La page de phishing demande aux utilisateurs de télécharger l'application qui transporte secrètement la menace Elibomi. Le package de l'application menaçante est nommé suivant le modèle - random word.random string.imobile. Les chercheurs d'infosec ont découvert plusieurs versions de la fausse application à distribuer, certaines n'affichant qu'une fausse page de connexion tandis que d'autres possèdent également une option pour les fausses demandes d'inscription et de remboursement de taxes.

La menace Elibomi capture à nouveau les données sensibles de l'appareil compromis, ainsi que toutes les informations financières qu'elle parvient à obtenir de ses victimes. Il peut obtenir des e-mails, des numéros de téléphone, des messages SMS/MMS, des données financières et des informations personnellement identifiables. Curieusement, les données récoltées ont été téléchargées sur des serveurs ouverts sur Internet, exposant efficacement les informations de la victime au public. Les pirates ont peut-être remarqué que leur erreur a été découverte et que les informations collectées ne sont plus disponibles.