Divers clients européens de différentes banques sont ciblés par un cheval de Troie bancaire Android appelé Note d’espion dans le cadre d’une campagne agressive détectée en juin et juillet 2023.
« Le logiciel espion est distribué via des campagnes de phishing ou de smishing par e-mail et les activités frauduleuses sont exécutées avec une combinaison de capacités de cheval de Troie d’accès à distance (RAT) et d’attaque de vishing », a déclaré la société italienne de cybersécurité Cleafy dans une analyse technique publiée lundi.
SpyNote, également appelé SpyMax, est similaire à d’autres chevaux de Troie bancaires Android en ce sens qu’il nécessite les autorisations d’accessibilité d’Android afin de s’accorder d’autres autorisations nécessaires et de collecter des données sensibles à partir d’appareils infectés. Ce qui rend la souche de logiciels malveillants remarquable, c’est sa double fonction de logiciel espion et de fraude bancaire.
Les chaînes d’attaque commencent par un faux SMS invitant les utilisateurs à installer une application bancaire en cliquant sur le lien qui l’accompagne, redirigeant la victime vers l’application légitime TeamViewer QuickSupport disponible sur le Google Play Store.
« TeamViewer a été adopté par plusieurs [threat actors] pour exécuter des opérations de fraude par le biais d’attaques d’ingénierie sociale », a déclaré le chercheur en sécurité Francesco Iubatti. « En particulier, l’attaquant appelle la victime, se faisant passer pour des opérateurs bancaires, et effectue des transactions frauduleuses directement sur l’appareil de la victime.
L’idée est d’utiliser TeamViewer comme conduit pour accéder à distance au téléphone de la victime et installer furtivement le logiciel malveillant. Les différents types d’informations récoltées par SpyNote incluent les données de géolocalisation, les frappes au clavier, les enregistrements d’écran et les messages SMS pour contourner l’authentification à deux facteurs (2FA) basée sur SMS.
La divulgation intervient alors que l’opération de hack-for-hire connue sous le nom de Bahamut a été liée à une nouvelle campagne ciblant des individus dans les régions du Moyen-Orient et d’Asie du Sud dans le but d’installer une application de chat factice nommée SafeChat qui dissimule un malware Android appelé CoverIm.
Livrée aux victimes via WhatsApp, l’application contient des fonctionnalités identiques à celles de SpyNote, demandant des autorisations d’accessibilité et d’autres pour collecter les journaux d’appels, les contacts, les fichiers, l’emplacement, les messages SMS, ainsi que pour installer des applications supplémentaires et voler des données de Facebook Messenger, imo , Signal, Télégramme, Viber et WhatsApp.
Cyfirma, qui a découvert la dernière activité, a déclaré que les tactiques employées par cet acteur menaçant se chevauchent avec un autre acteur de l’État-nation connu sous le nom de DoNot Team, qui a récemment été observé en train d’utiliser des applications Android malveillantes publiées sur le Play Store pour infecter des personnes situées au Pakistan.
Bien que les détails exacts de l’aspect d’ingénierie sociale de l’attaque ne soient pas clairs, Bahamut est connu pour s’appuyer sur des personnages fictifs sur Facebook et Instagram, se faisant passer pour des recruteurs technologiques dans de grandes entreprises technologiques, des journalistes, des étudiants et des militants pour inciter les utilisateurs involontaires à télécharger. des logiciels malveillants sur leurs appareils.
« Bahamut a utilisé une gamme de tactiques pour héberger et distribuer des logiciels malveillants, y compris l’exploitation d’un réseau de domaines malveillants prétendant offrir un chat sécurisé, le partage de fichiers, des services de connectivité ou des applications d’actualités », a révélé Meta en mai 2023. « Certains d’entre eux ont usurpé le domaines de médias régionaux, d’organisations politiques ou de magasins d’applications légitimes, susceptibles de rendre leurs liens plus légitimes. »
