Une version mise à jour du Banker Android (s’ouvre dans un nouvel onglet) un logiciel espion a été détecté, volant les coordonnées bancaires de la victime et peut-être même de l’argent dans certains cas.
Selon des chercheurs en cybersécurité de Microsoft (s’ouvre dans un nouvel onglet), un acteur menaçant inconnu a lancé une campagne de smishing (hameçonnage par SMS), par laquelle il tente d’inciter les gens à télécharger TrojanSpy:AndroidOS/Banker.O. Ceci est un logiciel malveillant (s’ouvre dans un nouvel onglet) variante capable d’extraire toutes sortes d’informations sensibles, y compris les codes d’authentification à deux facteurs (2FA), les informations de connexion au compte et d’autres informations personnellement identifiables (PII).
Ce qui rend cette attaque particulièrement inquiétante, c’est la furtivité de toute l’opération.
Octroi d’autorisations majeures
Une fois que l’utilisateur a téléchargé le logiciel malveillant, il doit accorder certaines autorisations, telles que MainActivity, AutoStartService et RestartBroadCastReceiverAndroid.
Cela lui permet d’intercepter les appels, d’accéder aux journaux d’appels, aux messages, aux contacts et même aux informations sur le réseau. En étant capable de faire ces choses, le malware peut également recevoir et lire des codes d’authentification à deux facteurs entrant par SMS, et les supprimer pour s’assurer que la victime ne soupçonne rien de louche.
Pour aggraver les choses, l’application est autorisée à commander en mode silencieux, ce qui signifie que les codes 2FA entrant par SMS peuvent être reçus, lus et supprimés, dans un silence complet – pas de son de notification, pas de vibration, pas de lumière d’écran, rien.
Les acteurs de la menace à l’origine de la campagne sont inconnus, mais ce que Microsoft sait, c’est que l’application, vue pour la première fois en 2021 et considérablement améliorée depuis, est accessible à distance.
La portée de l’attaque est également inconnue, car il est difficile de déterminer exactement combien de personnes sont touchées. L’année dernière, Banker a été observé en train d’attaquer uniquement les consommateurs indiens, et étant donné que le SMS de phishing porte le logo de la banque indienne ICICI, il est prudent de supposer que les utilisateurs indiens sont également dans le collimateur cette fois-ci.
« Certains des APK malveillants utilisent également le même logo de banque indienne que la fausse application sur laquelle nous avons enquêté, ce qui pourrait indiquer que les acteurs génèrent en permanence de nouvelles versions pour poursuivre la campagne », ont déclaré les chercheurs.
Via : Le Registre (s’ouvre dans un nouvel onglet)