En général, les utilisateurs reçoivent un courriel, avec une adresse mail falsifiée de leur banque, leur indiquant qu’une mise à jour de l’application bancaire est disponible et qu’ils devraient se la procurer avec le lien adéquat. Recommandations que plusieurs utilisateurs ont suivies, pour ceux qui disposaient d’une application bancaire sur leurs dispositifs mobiles Android. Pour le moment, l’application n’a visé que des banques russes. Précisons que ce téléchargement était fait depuis une vitrine en ligne tierce et non Google Play.
Les ingénieurs en sécurité de Trend Micro ont pu en obtenir un échantillon qui a servi pour leurs analyses. Ils expliquent que l’application ne s’active que si l’utilisateur possède l’application Sberbank installée sur son appareil mobile et non plusieurs applications bancaires. Ils précisent également que l’application fonctionne indépendamment de la version d’Android de l’utilisateur.
Une fois que l’application est installée, elle attendra que l’utilisateur aille dans les paramètres du téléphone pour lui demander de l’exécuter avec des privilèges administrateur. « Gardez en mémoire que la plupart des applications mobiles légitimes ne demandent pas de privilège administrateur. Il s’agit là d’une alerte rouge qui doit rapidement mettre sur le qui-vive lorsqu’il s’agit de logiciels malveillants sur mobile ». Si l’utilisateur accorde ces privilèges, une page d’accueil factice de la banque s’affiche et l’invite à entrer ses identifiants de connexion. Dès que c’est fait, l’application communique avec une adresse où seront transférées des informations de l’utilisateur. Après l’identification initiale, l’application officielle s’exécute normalement. Cependant, armés des identifiants de la victime, les cybercriminels peuvent voler son argent silencieusement.
à gauche, la page d’accueil officielle, à droite, la page d’accueil factice
Dès lors que l’utilisateur veut supprimer l’application, opération qui n’est possible qu’après avoir supprimé les privilèges administrateur, le logiciel malveillant modifie le mot de passe du téléphone, empêchant ainsi les victimes d’avoir accès à leur dispositif.
Les chercheurs indiquent également que Fanta SDK affecte l’application Google Play Store. Si un dispositif infecté essaye de l’ouvrir, Fanta SDK ferme l’application et lance une page Google Play Store factice avec une annonce faisant croire au propriétaire qu’il a gagné un iPhone 6 avant de lui demander ses coordonnées bancaires.
Lors de leur enquête sur le serveur C&C, les chercheurs ont constaté que l’adresse IP, un domaine parqué, héberge plusieurs autres logiciels malveillants parmi lesquels les ransomwares RAMNIT, CRIDEX, et ZBOT
La banque russe a déjà été contactée et les chercheurs indiquent que la dernière version de leur application Sberbank peut détecter le logiciel malveillant, tandis que les anciennes en sont incapables.
Source : blog Trend Micro
Voir aussi :
Des chercheurs découvrent un navigateur malveillant basé sur Chromium, il se présente comme une imitation de Chrome afin de tromper les utilisateurs
Viking Horde : des logiciels malveillants ont échappé aux radars de sécurité de Google Play et transforment les dispositifs infectés en botnet
Un chercheur a découvert un code malveillant sur des caméras IP vendues sur Amazon et qui peut entraîner une surveillance illégale