Le cheval de Troie SharkBot cible les informations d’identification bancaires et de crypto-monnaie


Fraude par prise de contrôle de compte, sécurité des applications et fraude en ligne, fraude par crypto-monnaie

Les attaques sont généralisées au Royaume-Uni, en Italie et aux États-Unis

Mihir Bagwe •
18 novembre 2021

Le cheval de Troie SharkBot cible les informations d'identification bancaires et de crypto-monnaie

Un cheval de Troie bancaire nouvellement identifié, baptisé SharkBot, cible désormais les clients des services bancaires et de crypto-monnaie au Royaume-Uni, en Italie et aux États-Unis par le biais d’une campagne de téléchargement et/ou d’une campagne d’ingénierie sociale qui tente de « lancer des transferts d’argent à partir des appareils compromis via des techniques de système de transfert automatique. , contournant les mécanismes d’authentification multifacteur tels que l’authentification forte des clients, selon l’équipe de recherche Cleafy sur les menaces.

Voir également: Webinaire en direct | Comment créer un lieu de travail hybride sécurisé avec SASE

Le malware a ciblé les clients de 22 banques différentes au Royaume-Uni et en Italie et de cinq services de crypto-monnaie aux États-Unis, mais on ne sait pas combien de victimes individuelles il y a eu ou qui est derrière la campagne, selon les chercheurs. Ils notent qu’aucune référence à ce malware n’a été trouvée même sur les forums de piratage clandestins et ajoutent : « Cela nous fait penser que SharkBot est toujours un botnet privé. »

Le cheval de Troie SharkBot

Les chercheurs de Cleafy ont découvert ce nouveau cheval de Troie bancaire Android fin octobre. Le cheval de Troie permet aux attaquants de voler des informations bancaires et de crypto-monnaie sensibles – y compris les informations d’identification de l’utilisateur, les informations personnelles et le solde actuel – et d’effectuer des actions et des clics sur l’appareil infecté.

SharkBot se fait passer pour une application légitime utilisant des noms et des icônes courants, tels que lecteur multimédia, télévision en direct ou applications de récupération de données.

Noms et icônes des applications utilisés par SharkBot (Source : Cleafy)

Traditionnellement, un cheval de Troie bancaire est spécifiquement utilisé pour collecter des informations d’identification et d’autres informations financières et personnelles sensibles stockées dans un appareil afin qu’elles puissent être exploitées par des acteurs malveillants lors de futures fraudes en ligne ou campagnes de phishing. Mais SharkBot va au-delà, disent les chercheurs.

Il utilise une technique de systèmes de transfert automatique pour automatiser le processus de vol de fonds sur les comptes des utilisateurs, notent les chercheurs. Ils expliquent qu’ATS permet aux attaquants de remplir automatiquement les champs sur un appareil infecté avec un minimum d’intervention humaine, ce qui facilite les transferts d’argent frauduleux via des applications de services bancaires et de crypto-monnaie légitimes.

Comment SharkBot effectue une attaque ATS (Source : Cleafy)

SharkBot a deux caractéristiques principales. Le premier lui permet de lire et de masquer les messages SMS reçus sur l’appareil de l’utilisateur infecté, qui est largement utilisé pour capturer les messages 2FA/MFA envoyés par les banques. La seconde est l’attaque par superposition, qui aide à exfiltrer les identifiants de connexion des applications bancaires et de crypto-monnaie et les données de carte de crédit. Les chercheurs notent que SharkBot utilise ces fonctionnalités pour contourner l’analyse, la détection et les mécanismes biométriques comportementaux 2FA.

Les applications sous lesquelles SharkBot se fait passer ne sont pas disponibles sur le Google Play Store, notent les chercheurs. Ils disent que cela signifie que les acteurs de la menace convainquent leurs victimes grâce à des techniques d’ingénierie sociale de charger l’application sur leur appareil.

Le chargement latéral est un processus dans lequel une application est installée sur l’appareil en copiant le programme d’installation APK sur l’appareil et en l’installant manuellement. Cette méthode contourne également les contrôles de l’App Store, selon les chercheurs.

Exploiter l’accessibilité Android

Pour utiliser ATS, le cheval de Troie a besoin d’un certain niveau de droits d’accès pour effectuer ses opérations d’espionnage. Une fois SharkBot installé avec succès, aucune icône ne s’affiche sur l’appareil, mais le cheval de Troie continue d’inviter l’utilisateur à lui accorder l’accès au service Android Accessibility, qui est une fonctionnalité qui automatise certaines tâches pour les utilisateurs à mobilité réduite. Les chercheurs affirment que l’accès à cette fonctionnalité permet au cheval de Troie de surveiller et d’effectuer les tâches suivantes :

  • Contrôler à distance l’appareil Android ;
  • Intercepter et/ou masquer les messages SMS ;
  • Installez des enregistreurs de frappe et exfiltrez les informations d’identification ;
  • Lancer des attaques par superposition en affichant de fausses fenêtres contextuelles et convaincre les utilisateurs de cliquer dessus ;
  • Contournez le composant doze d’Android et restez connecté aux serveurs C2.

Éviter la détection

Citant les exemples des logiciels malveillants TeaBot et UBEL, les chercheurs affirment qu’un logiciel malveillant utilise généralement l’une des deux techniques d’évasion pour éviter la détection, mais SharkBot utilise plusieurs techniques d’anti-analyse et de détection. Certains des plus notables sont :

  • Obscurcissement : Cela ralentit l’analyse statique et masque toutes les commandes et informations importantes utilisées par le malware.
  • Anti-émulateur : Lorsque l’application malveillante est installée sur l’appareil, elle vérifie si l’appareil est un émulateur ou un vrai téléphone. Cette technique est généralement utilisée pour contourner les bacs à sable ou les émulateurs courants.
  • Module ATS externe : Une fois installé, le malware télécharge un module supplémentaire à partir du C2. Le module externe est un fichier « .jar » qui contient toutes les fonctionnalités utilisées pour effectuer les attaques ATS. Cette fonctionnalité est donc introuvable lors de l’analyse de l’APK.
  • Anti-suppression : Comme d’autres logiciels malveillants, SharkBot utilise les services d’accessibilité d’Android pour empêcher les utilisateurs de désinstaller l’application malveillante à partir des options de configuration.
  • Communication cryptée : Toutes les communications entre le malware et C2 sont cryptées et encodées en Base64. En plus de cela, SharkBot utilise un algorithme de générateur de domaine (DGA).

Les chercheurs notent que le cheval de Troie SharkBot a actuellement un taux de détection très faible parmi les solutions antivirus et que seulement 20 des 62 éditeurs d’antivirus, au moment de la rédaction de cet article, étaient capables de le détecter.

La dernière mise à jour

Selon un analyste de logiciels malveillants Android connu sur Twitter sous le nom de @_icebre4ker_, le cheval de Troie SharkBot a maintenant ajouté une nouvelle commande : « collectContacts » qui – comme son nom l’indique – semble collecter toutes les coordonnées de l’appareil de la victime. Séparément, l’analyste a partagé un échantillon téléchargeable du cheval de Troie, affirmant que SharkBot a maintenant commencé à chiffrer la base de données de l’appareil.

Mobiles : un faux sentiment de sécurité

Les appareils mobiles sont souvent considérés comme « sûrs » par rapport aux ordinateurs de bureau, explique Uriel Maimon, directeur principal des technologies émergentes chez PerimeterX : les appareils mobiles, qui sont plus en phase avec l’électronique grand public, ne peuvent pas être exploités. Ce n’est très clairement pas le cas, et les appareils mobiles sont exposés à la fois au vol en ligne et au vol physique réel de l’appareil lui-même.

En fait, les chevaux de Troie voleurs de comptes bancaires existent depuis au moins la fin des années 1990, souligne Roger Grimes, évangéliste de la défense basée sur les données chez KnowBe4, ils ne sont donc certainement pas nouveaux. Grimes poursuit : « La navigation mobile devient de plus en plus la principale méthode d’accès à Internet, il est donc logique que les versions mobiles continuent de proliférer. Bien que Sharkbot ne soit pas le premier mobile ou le plus prolifique à voler des comptes bancaires ou cryptographiques, les chevaux de Troie sont un autre exemple de la sophistication croissante que les auteurs de logiciels malveillants utilisent pour échapper à la détection et à l’analyse. Il est également prouvé que les connexions MFA ne résoudront pas le problème des logiciels malveillants et des pirates. Le seul espoir est de former les gens sur la façon d’éviter les attaques d’ingénierie sociale courantes qui ciblent les utilisateurs de téléphones portables, dans ce cas, car une fois que le téléphone portable de quelqu’un est compromis, la partie est terminée. Le seul espoir est la prévention. Et vous pouvez empêcher la grande majorité de ces attaques en formant les gens sur la façon d’éviter de se faire piéger en installant des chevaux de Troie. »

Maimon ajoute : « Ce nouveau cheval de Troie bancaire Android Sharkbot souligne la nécessité pour les entreprises de surveiller toutes les transactions des utilisateurs d’un point de vue comportemental. Ils devraient également s’assurer qu’ils ont la capacité d’affecter les interventions et d’arrêter les actions malveillantes, car n’importe quel compte peut être pris en charge à tout moment.

Laisser un commentaire