Le monde de la cybercriminalité est en constante évolution, changeant son fonctionnement pour tenter de prendre de nouvelles victimes au dépourvu et contourner certains contrôles de sécurité. Maintenant certains de fausses applications ont été détectées qui volent vos coordonnées bancaires alors qu'en théorie ils servent à vous donner des récompenses.
Nous allons vous expliquer comment fonctionnent ces fausses applications afin que vous puissiez jeter un œil pour voir si vous les avez installées.
Fausses applications de récompenses
Les Microsoft L'équipe de renseignement sur les menaces de 365 Defender a rapporté l'analyse d'une série d'applications mobiles qui, sous le principe des récompenses bancaires, ce qu'elles font réellement est d'installer un cheval de Troie d'accès à distance (RAT) . Les capacités RAT du logiciel malveillant permettent à l'attaquant d'intercepter les notifications importantes de l'appareil, telles que les messages entrants, un effort apparent pour capturer les messages d'authentification à deux facteurs (2FA) qui sont couramment utilisés par les institutions bancaires et financières conformément à la réglementation.
Certains des noms de ces fausses applications sont les suivants :
- Axisbank_rewards.apk
- Icici_points.apk
- Icici_rewards.apk
- SBI_rewards.apk
Faux applis demander des informations de carte de crédit après avoir reçu toutes les autorisations . Cela devrait éveiller les soupçons des utilisateurs quant au motif de l'application, car les applications ne demandent généralement des informations sensibles que par le biais de transactions pilotées par l'utilisateur, telles que le paiement d'achats.
En outre, il définit également les services qui peuvent s'exécuter en arrière-plan sans interaction de l'utilisateur, tels que la lecture de l'état du téléphone, l'envoi et la lecture de SMS, la lecture du journal des appels, la modification des paramètres audio, la lecture des contacts, etc. Le logiciel malveillant utilise MainActivity, AutoStartService et RestartBroadCastReceiverAndroid fonctionne pour exécuter la plupart de ses routines. Ces trois fonctions interagissent pour s'assurer que toutes les routines du logiciel malveillant sont opérationnelles et permettre à l'application de rester persistante sur l'appareil mobile .
Ils volent des SMS d'authentification
Ce malware détecte les activités d'envoi de SMS de l'attaquant distant, il est mis en évidence dans la liste des commandes. De nombreuses applications bancaires nécessitent une authentification à deux facteurs (2FA), souvent envoyée par SMS. Ce logiciel malveillant qui active le mode silencieux sur un appareil infecté permet aux attaquants de capturer des messages 2FA non détectés , rendant le vol d'informations encore plus facile.
Le logiciel malveillant vole tous les messages SMS de la boîte de réception de l'appareil mobile . Il collecte tous les messages reçus, envoyés, lus et même non lus. La collecte de tous les messages SMS pourrait permettre aux attaquants d'utiliser les données pour étendre leur portée de vol, en particulier si un message contient d'autres informations sensibles, telles que 2FA basé sur SMS pour email comptes, autres services en ligne, réseaux sociaux, etc.
Sa capacité à intercepter les mots de passe à usage unique (OTP) envoyés par SMS contrecarre les protections fournies par les mécanismes d'authentification à deux facteurs des banques, sur lesquels les utilisateurs et les institutions s'appuient pour sécuriser leurs transactions.
