Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants mobiles Logiciel malveillant pour mobile AppLite Banker

Logiciel malveillant pour mobile AppLite Banker

Par Mezo en Logiciels malveillants mobiles, Cheval de Troie bancaire
Se traduisent par :
Français

Des experts en cybersécurité ont découvert une technique de phishing sophistiquée visant à diffuser une version actualisée du cheval de Troie bancaire Antidot. Les attaquants se font passer pour des recruteurs proposant des offres d'emploi alléchantes.

Offres d'emploi dissimulant des intentions malveillantes

Se faisant passer pour un processus de recrutement légitime, les attaquants incitent les victimes à télécharger une application frauduleuse. Cette application menaçante fait office de dropper, délivrant la nouvelle variante d'Antidot Banker sur l'appareil de la victime sous couvert d'un logiciel légitime.

Présentation d'AppLite Banker : une menace déguisée

Le malware mis à jour, baptisé AppLite Banker par les chercheurs en sécurité, dispose de fonctionnalités avancées. Il peut extraire les identifiants de déverrouillage des appareils, tels que les codes PIN, les schémas ou les mots de passe, et prendre le contrôle à distance des appareils infectés. Ces fonctionnalités font écho aux tactiques observées dans des menaces similaires comme TrickMo.

Ingénierie sociale et programmes d'emploi

Les attaquants utilisent des tactiques d'ingénierie sociale pour attirer leurs victimes en leur promettant des opportunités d'emploi lucratives. Par exemple, une campagne de phishing de septembre 2024 s'est fait passer pour une entreprise canadienne, Teximus Technologies, prétendant proposer des postes de service client à distance avec des salaires horaires attractifs et un potentiel d'évolution professionnelle. Les victimes qui interagissent avec ces « recruteurs » sont invitées à télécharger des applications dangereuses à partir de sites de phishing, ce qui déclenche le processus d'installation de logiciels malveillants.

Fausses applications et domaines de phishing

Les applications malveillantes, qui se font passer pour des outils CRM pour les employés, sont distribuées via un réseau de domaines trompeurs. Ces applications de type dropper échappent astucieusement à la détection en manipulant des fichiers ZIP et en contournant les défenses de sécurité. Les victimes sont invitées à créer un compte et à installer une fausse mise à jour d'application, apparemment pour « protéger leur téléphone ». La prétendue mise à jour est ensuite délivrée via une interface Google Play Store contrefaite, ce qui acheve le déploiement du malware.

Exploiter les fonctionnalités d'accessibilité pour des activités nuisibles

Comme dans les versions précédentes, l'application AppLite Banker abuse des autorisations des services d'accessibilité Android. Cet accès lui permet de superposer des écrans, d'accorder des autorisations à des tiers et d'effectuer d'autres activités nuisibles.

Les fonctionnalités clés incluent :

  • Vol des identifiants de compte Google via des superpositions d'écran.
  • Modification des paramètres de l'appareil tels que la luminosité de l'écran et les applications par défaut.
  • Interagir avec les écrans de verrouillage à l'aide de codes PIN, de modèles ou de mots de passe.
  • Empêcher la désinstallation du malware.

    • Contrôle étendu sur les appareils infectés

    La dernière version introduit des fonctionnalités qui augmentent son niveau de menace, notamment :

    • Blocage des appels et masquage des messages SMS en fonction des instructions du serveur distant.
    • Proposer de fausses pages de connexion à 172 banques, portefeuilles de crypto-monnaie et plateformes de médias sociaux comme Facebook et Telegram.
    • Activation de l'enregistrement des frappes, du vol de SMS, du transfert d'appels et du calcul en réseau virtuel (VNC) pour manipuler les appareils à distance.

    Un public cible mondial

    La campagne semble cibler les utilisateurs de différentes régions, en particulier ceux qui maîtrisent des langues telles que l’anglais, l’espagnol, le russe, le français, l’allemand, l’italien et le portugais.

    La défense proactive est la clé

    Compte tenu de la nature sophistiquée et de l'ampleur des conséquences de cette menace, il est essentiel de mettre en œuvre des mesures de protection robustes. Les utilisateurs doivent faire preuve de prudence lorsqu'ils reçoivent des offres d'emploi non sollicitées ou des invitations à installer des applications externes. Rester vigilant et donner la priorité à la sécurité mobile peut aider à prévenir les pertes potentielles de données et financières.

    Tendance

    Porte dérobée GhostSpider

    Menace persistante avancée (APT), Portes dérobées, Logiciels malveillants
    Un groupe de cyberespionnage sophistiqué lié à la Chine, connu sous le nom de Earth Estries, cible les télécommunications et les entités gouvernementales en Asie du Sud-Est et au-delà. Le groupe a utilisé diverses techniques avancées pour infiltrer des industries critiques, notamment en utilisant une porte dérobée non documentée appelée GhostSpider. Cet acteur malveillant a également été...

    Le plus regardé

    Chargement...