Actus

Le nouveau malware bancaire Android MaliBot se propage en tant que crypto-mineur

Par , le 17 juin 2022 - 4 minutes de lecture
Le nouveau malware bancaire Android MaliBot se propage en tant que crypto-mineur
Notez l'article

Les chercheurs en cybersécurité ont découvert un nouveau malware bancaire Android nommé MaliBot, qui se présente comme une application d’extraction de crypto-monnaie ou le navigateur Web Chrome pour cibler les utilisateurs en Italie et en Espagne.

MaliBot se concentre sur le vol d’informations financières telles que les informations d’identification de service bancaire en ligne, les mots de passe de portefeuille cryptographique et les détails personnels, tout en étant également capable d’extraire des codes d’authentification à deux facteurs des notifications.

Selon un rapport de F5 Labs, dont les analystes ont découvert le nouveau logiciel malveillant, il utilise actuellement plusieurs canaux de distribution, visant probablement à combler le vide du marché créé par l’arrêt soudain de l’opération FluBot.

Fausses crypto-applications

Fausses crypto-applications

Le serveur de commande et de contrôle de Malibot est basé en Russie et son adresse IP a été associée à plusieurs campagnes de distribution de logiciels malveillants remontant à juin 2020.

La distribution de MaliBot s’effectue via des sites Web qui font la promotion d’applications de crypto-monnaie sous la forme d’APK que les victimes téléchargent et installent manuellement.

Les sites qui poussent ces fichiers sont des clones de projets réels comme TheCryptoApp, qui compte plus d’un million de téléchargements sur le Google Play Store.

Dans une autre campagne, le logiciel malveillant est poussé sous la forme d’une application appelée Mining X, et les victimes sont amenées à scanner un code QR pour télécharger le fichier APK malveillant.

Les opérateurs MaliBot utilisent également des messages de smishing (hameçonnage par SMS) pour distribuer leurs charges utiles à une liste de numéros de téléphone déterminée par le C2. Ces messages sont envoyés à partir d’appareils compromis abusant de l’autorisation “envoyer des SMS”.

Capacités MaliBot

Capacités MaliBot

MaliBot est un puissant cheval de Troie Android qui sécurise les autorisations d’accessibilité et de lancement lors de l’installation, puis s’octroie des droits supplémentaires sur l’appareil.

Il peut intercepter les notifications, les SMS et les appels, capturer des captures d’écran, enregistrer les activités de démarrage et donner à ses opérateurs des capacités de contrôle à distance via un système VNC.

VNC permet aux opérateurs de naviguer entre les écrans, de faire défiler, de prendre des captures d’écran, de copier et coller du contenu, de balayer, d’appuyer longuement, etc.

Pour contourner les protections MFA, il abuse de l’API d’accessibilité pour cliquer sur les invites de confirmation des alertes entrantes concernant les tentatives de connexion suspectes, envoie l’OTP au C2 et le remplit automatiquement.

De plus, le logiciel malveillant peut voler les codes MFA de Google Authenticator et effectuer cette action à la demande, en ouvrant l’application d’authentification indépendamment de l’utilisateur.

Comme la plupart des chevaux de Troie bancaires, MaliBot récupère une liste des applications installées pour déterminer quelles applications bancaires sont utilisées par la victime pour récupérer les superpositions/injections correspondantes du C2. Lorsque la victime ouvre l’application légitime, le faux écran de connexion est superposé à l’interface utilisateur.

Ce à quoi nous devrions nous attendre

Ce à quoi nous devrions nous attendre

Les analystes de F5 Labs ont vu des fonctionnalités non implémentées dans le code de MaliBot, comme la détection d’environnements émulés qui pourraient être utilisés pour échapper à l’analyse.

C’est un signe que le développement est très actif, et de nouvelles versions de MaliBot devraient bientôt entrer en circulation, augmentant peut-être la puissance du nouveau malware.

Pour l’instant, MaliBot charge des overlays qui ciblent les banques italiennes et espagnoles, mais il pourrait bientôt étendre son champ d’action en ajoutant plus d’injections, tout comme FluBot l’a fait progressivement.

Au moment d’écrire ces lignes, les sites Web distribuant MaliBot restent en ligne, de sorte que l’opération de distribution de logiciels malveillants est toujours à peu près active.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.