ThiefBot

ThiefBot est un cheval de Troie bancaire Android conçu pour cibler principalement les utilisateurs situés en Turquie. Cette menace de malware spécifique est annoncée et vendue dans des forums de hackers clandestins.

Pour ne pas paraître trop suspect, ThiefBot se déguise en une application Google Play Store qui, lors de l'installation, commence à demander immédiatement toutes sortes d'autorisations. ThiefBot souhaite que les utilisateurs lui permettent de lire, d'envoyer et de recevoir des messages SMS, ainsi que d'accéder au stockage, aux contacts du téléphone et à l'appareil photo de l'appareil. ThiefBot souhaite également obtenir l'autorisation d'activer le service d'accessibilité sur l'appareil compromis. S'il réussit, ThiefBot énumère le périphérique et télécharge un fichier zip nommé « inj.zip » à partir de son serveur de commande et de contrôle (C2).

ThiefBot cible plusieurs applications et banques turques

Pour collecter les informations d'identification, ThiefBot utilise des attaques par superposition qui collectent les informations d'identification bancaires et les détails de la carte de crédit / débit des utilisateurs, puis les envoient à l'infrastructure C2 via des requêtes POST. L'une des applications ciblées par ThiefBot concerne le service de paiement Papara basé en Turquie.

De plus, ThiefBot peut recevoir des commandes pour effectuer de nombreuses actions menaçantes. Il peut collecter les données d'application de l'appareil compromis, la liste de contacts et les messages SMS. ThiefBot peut également agir comme un casier d'écran en affichant un message spécifique sur l'écran de l'appareil. ThiefBot peut se propager en envoyant des messages personnalisés trompeurs aux contacts trouvés sur l'appareil infecté dans le but de convaincre les utilisateurs sans méfiance de télécharger et d'installer l'application menaçante.

Pour gérer la campagne et émettre des commandes pour des victimes spécifiques, les créateurs de ThiefBot ont équipé leur menace de malware d'un panneau d'administration.