Les titulaires de comptes de plus de nombreuses institutions financières en Thaïlande, en Indonésie, au Vietnam, aux Philippines et au Pérou sont ciblés par un malware bancaire Android appelé Gigabud RAT.
« L’une des caractéristiques uniques de Gigabud RAT est qu’il n’exécute aucune action malveillante tant que l’utilisateur n’est pas autorisé à accéder à l’application malveillante par un fraudeur, […] ce qui le rend plus difficile à détecter », ont déclaré les chercheurs du groupe IB Pavel Naumov et Artem Grischenko.
« Au lieu d’utiliser des attaques par superposition HTML, Gigabud RAT recueille des informations sensibles principalement via l’enregistrement d’écran. »
Gigabud RAT a été documenté pour la première fois par Cyble en janvier 2023 après avoir été repéré en train de se faire passer pour des applications bancaires et gouvernementales pour siphonner des données sensibles. Il est connu pour être actif dans la nature depuis au moins juillet 2022.
La société basée à Singapour a déclaré avoir également identifié une deuxième variante du logiciel malveillant sans les capacités de RAT. Surnommé Gigabud.Loan, il se présente sous l’apparence d’une demande de prêt capable d’exfiltrer les données saisies par l’utilisateur.
« Les cibles étaient des personnes amenées à remplir un formulaire de demande de carte bancaire pour obtenir un prêt à faible taux d’intérêt », ont déclaré les chercheurs. « Les victimes sont convaincues de fournir des informations personnelles lors du processus de candidature. »
Les deux versions de logiciels malveillants se propagent via des sites Web de phishing, dont les liens sont transmis aux victimes par SMS ou messages instantanés sur les réseaux sociaux. Gigabud.Loan est également distribué directement sous la forme de fichiers APK envoyés via des messages sur WhatsApp.
Les cibles approchées sur les réseaux sociaux sont souvent contraintes de visiter les sites sous prétexte de réaliser un contrôle fiscal et de demander un remboursement.
Alors que les appareils Android ont le paramètre « Installer à partir de sources inconnues » désactivé par défaut comme mesure de sécurité pour empêcher l’installation d’applications à partir de sources non fiables, le système d’exploitation autorise l’installation d’autres applications sur l’appareil, telles que les navigateurs Web, les clients de messagerie, les fichiers gestionnaires et applications de messagerie pour demander l’autorisation « REQUEST_INSTALL_PACKAGES ».
Si un utilisateur accorde l’autorisation à de telles applications, cela permet aux pirates d’installer des fichiers APK malveillants tout en contournant l’option « Installer à partir de sources inconnues ».
Gigabud fonctionne un peu comme les autres chevaux de Troie bancaires Android en demandant des autorisations de services d’accessibilité pour effectuer des captures d’écran et des frappes de journalisation. Il est également équipé pour remplacer les numéros de carte bancaire dans les presse-papiers et effectuer des transferts de fonds automatisés via un accès à distance.
D’autre part, Gigabud.Loan fonctionne comme un outil pour collecter des informations personnelles telles que le nom complet, le numéro d’identité, la photo du document d’identité national, la signature numérique, l’éducation, les informations sur le revenu, les informations de carte bancaire et le numéro de téléphone sous prétexte de soumettre un demande de prêt à la banque.
Les résultats font suite à la découverte de 43 applications malveillantes sur le Google Play Store qui chargent des publicités lorsque l’écran de l’appareil est éteint. Les applications, avec des téléchargements cumulés de 2,5 millions, ont depuis été supprimées ou mises à jour par les développeurs pour supprimer le composant de fraude publicitaire.
McAfee a déclaré que le logiciel publicitaire, une fois installé, demande aux utilisateurs l’autorisation d’exclure les applications lors de l’enregistrement de la batterie et de lui permettre de puiser dans d’autres applications, ouvrant ainsi la porte à d’autres attaques malveillantes, telles que le chargement de publicités en arrière-plan et l’affichage de pages de phishing.
La bibliothèque de fraudes publicitaires utilisée par les applications utilise également des tactiques de retardement pour échapper à la détection et peut être modifiée à distance par les opérateurs utilisant le service de messagerie Firebase, ce qui lui confère une couche supplémentaire de complexité.
La divulgation intervient alors que le Federal Bureau of Investigation (FBI) des États-Unis met en garde contre une augmentation des escrocs prétendant être des sociétés de récupération et de traçage qui peuvent aider les victimes d’escroqueries aux investissements en crypto-monnaie à récupérer les actifs perdus.
« Les fraudeurs du système de récupération facturent des frais initiaux et soit cessent de communiquer avec la victime après avoir reçu un dépôt initial, soit produisent un rapport de recherche incomplet ou inexact et demandent des frais supplémentaires pour récupérer les fonds », a déclaré le FBI.
En plus de cela, l’agence a averti que les cybercriminels intègrent un code néfaste dans des applications de test bêta mobiles se faisant passer pour des applications d’investissement légitimes en crypto-monnaie pour escroquer les victimes potentielles en facilitant le vol d’informations personnellement identifiables (PII) et de données de compte financier.
« Les applications peuvent sembler légitimes en utilisant des noms, des images ou des descriptions similaires aux applications populaires », a expliqué l’agence. « Les cybercriminels utilisent souvent des escroqueries par hameçonnage ou romance pour établir des communications avec la victime, puis lui demandent de télécharger une application de test bêta mobile hébergée dans un environnement d’application de test bêta mobile, promettant des incitations telles que d’importants paiements financiers. »
Dans ces stratagèmes, les acteurs de la menace contactent les victimes potentielles sur les applications de rencontres et de réseaux sociaux et renforcent la confiance dans le but ultime de les inciter à télécharger des versions préliminaires des applications.
« Les victimes saisissent les détails de leur compte légitime dans l’application, envoyant de l’argent qu’elles pensent être investi dans la crypto-monnaie, mais à la place, les fonds des victimes sont envoyés aux cybercriminels », a déclaré le FBI.
Il convient de noter que l’abus du cadre de test bêta TestFlight d’Apple pour mener des escroqueries à l’abattage de porcs a été mis en évidence par la société de cybersécurité Sophos l’année dernière.
Les vagues récentes de la campagne, également appelée CryptoRom, ont armé les schémas de distribution d’applications ad hoc d’entreprise et de développeur d’Apple pour fournir de fausses applications cryptographiques dans le but de contourner les restrictions qui empêchent les utilisateurs de télécharger des applications iOS en dehors de l’App Store.
Dans d’autres cas, une application apparemment inoffensive est infectée par un cheval de Troie après avoir été approuvée et publiée sur les vitrines d’applications Apple et Google en modifiant le code distant pour qu’il pointe vers un serveur contrôlé par un attaquant afin d’introduire un comportement malveillant.
