Un acteur menaçant cible les clients de 450 banques et services de crypto-monnaie dans le monde avec un dangereux cheval de Troie Android doté de multiples fonctionnalités pour détourner des comptes en ligne et éventuellement en détourner des fonds.
Les auteurs du cheval de Troie Android dit « Nexus » ont mis le malware à la disposition d'autres acteurs de la menace via un programme de malware-as-a-service (MaaS) récemment annoncé où les individus et les groupes peuvent louer ou s'abonner au malware et l'utiliser dans leurs propres attaques.
Les chercheurs de la société italienne de cybersécurité Cleafy ont repéré Nexus pour la première fois en juin 2022, mais à l'époque, il s'agissait d'un variante à évolution rapide d'un autre cheval de Troie bancaire Android qu'ils traquaient sous le nom de "Sova". Le logiciel malveillant contenait plusieurs morceaux de code Sova et avait à l'époque la capacité de cibler plus de 200 applications bancaires mobiles, de crypto-monnaie et d'autres applications financières. Les chercheurs de Cleafy ont observé ce qu'ils supposaient être la variante Sova cachée dans de fausses applications avec des logos suggérant qu'il s'agissait d'Amazon, Chrome, NFT et d'autres applications de confiance.
Un parmi beaucoup
Nexus est l'un des nombreux chevaux de Troie bancaires Android qui ont fait surface au cours des derniers mois et ont ajouté au nombre déjà important d'outils similaires actuellement dans la nature. Plus tôt ce mois-ci, par exemple, des chercheurs de Cyble ont rapporté avoir observé nouveau malware Android baptisé GoatRAT ciblant un système de paiement automatisé mobile récemment introduit au Brésil. En décembre 2022, Cyble a repéré un autre cheval de Troie bancaire Android, suivi comme "Parrain", refaisant surface après une interruption avec nouvelles fonctionnalités avancées d'obscurcissement et d'anti-détection. Les cyber-chercheurs ont découvert que le malware se faisait passer pour un malware légitime sur Google Play Store. Les deux variantes de logiciels malveillants ne sont que la pointe de l'iceberg. Une analyse de Kaspersky a montré que quelque 200,000 2022 nouveaux chevaux de Troie bancaires ont fait surface en XNUMX, ce qui représente un 100% d'augmentation par rapport à 2021.
Federico Valentini, chef de l'équipe de renseignements sur les menaces de Cleafy, dit qu'il n'est pas clair comment les acteurs de la menace fournissent Nexus sur les appareils Android. "Nous n'avions pas accès à des détails spécifiques sur le vecteur d'infection initial de Nexus, car nos recherches étaient principalement axées sur l'analyse de son comportement et de ses capacités", explique Valentini. "Cependant, sur la base de notre expérience et de notre connaissance des logiciels malveillants similaires, il est courant que les chevaux de Troie bancaires soient diffusés via des schémas d'ingénierie sociale tels que le smishing", dit-il, faisant référence au phishing via des SMS.
En janvier 2023, les chercheurs de Cleafy ont repéré le logiciel malveillant - désormais plus évolué - faisant surface sur plusieurs forums de piratage sous le nom de Nexus. Peu de temps après, les auteurs du malware ont commencé à mettre le malware à la disposition d'autres acteurs de la menace via son nouveau programme MaaS pour environ 3,000 XNUMX $ par mois.
Plusieurs fonctionnalités pour la prise de contrôle de compte
L'analyse de Nexus par Cleafy a montré que le logiciel malveillant contenait plusieurs fonctionnalités permettant la prise de contrôle de compte. Parmi eux se trouve une fonction permettant d'effectuer des attaques par superposition et d'enregistrer les frappes au clavier pour voler les informations d'identification des utilisateurs. Lorsqu'un client d'une application bancaire ou de crypto-monnaie cible, par exemple, tente d'accéder à son compte à l'aide d'un appareil Android compromis, Nexus propose une page qui ressemble et fonctionne exactement comme la page de connexion de la vraie application. Le logiciel malveillant utilise ensuite sa fonction d'enregistrement de frappe pour saisir les informations d'identification de la victime telles qu'elles ont été saisies dans la page de connexion.
Comme de nombreux chevaux de Troie bancaires, Nexus peut intercepter des messages SMS pour saisir des codes d'authentification à deux facteurs pour accéder à des comptes en ligne. Cleafy a trouvé Nexus capable d'abuser de la fonctionnalité des services d'accessibilité d'Android pour voler des graines et équilibrer les informations des portefeuilles de crypto-monnaie, des cookies des sites Web d'intérêt et des codes à deux facteurs de l'application Authenticator de Google.
Les auteurs de logiciels malveillants semblent également avoir ajouté de nouvelles fonctionnalités à Nexus qui n'étaient pas présentes dans la version que Cleafy a observée l'année dernière et initialement supposée être une variante Sova. L'un d'eux est une fonctionnalité qui supprime discrètement les messages SMS d'authentification à deux facteurs reçus et un autre est une fonction permettant d'arrêter ou d'activer le module de vol des codes Google Authenticator 2FA. La dernière variante de Nexus a également une fonction pour vérifier périodiquement son serveur de commande et de contrôle (C2) pour les mises à jour et pour installer automatiquement celles qui pourraient devenir disponibles. Un module qui semble être encore en cours de développement suggère que les auteurs pourraient implémenter une capacité de cryptage dans le logiciel malveillant le plus susceptible d'obscurcir ses traces après avoir effectué une prise de contrôle de compte.
Un travail en cours?
Valentini dit que les recherches de Cleafy suggèrent que Nexus a potentiellement compromis des centaines de systèmes. "Ce qui est particulièrement remarquable, c'est que les victimes ne semblent pas être concentrées dans une région géographique particulière mais sont bien réparties dans le monde."
Malgré les nombreuses fonctions du malware pour prendre en charge les comptes financiers en ligne, les chercheurs de Cleafy ont estimé que Nexus était toujours un travail en cours. Une indication, selon le fournisseur de sécurité, est la présence de chaînes de débogage et le manque de références d'utilisation dans certains modules du malware. Un autre cadeau est le nombre relativement élevé de messages de journalisation dans le code, ce qui suggère que les auteurs sont toujours en train de suivre et de signaler toutes les actions effectuées par le logiciel malveillant, a déclaré Cleafy.
Notamment, le logiciel malveillant dans son avatar actuel n'inclut pas de module Virtual Network Computing, ou VNC, qui donnerait à l'attaquant un moyen de prendre le contrôle à distance complet d'un appareil infecté par Nexus. "Le module VNC permet aux acteurs de la menace d'effectuer une fraude sur l'appareil, l'un des types de fraude les plus dangereux puisque les transferts d'argent sont initiés à partir du même appareil utilisé quotidiennement par les victimes."
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
- La source: https://www.darkreading.com/mobile/new-android-malware-targets-customers-of-450-financial-institutions-worldwide
