- es chercheurs d’ESET ont analysé trois applications Android malveillantes ciblant les clients de huit banques malaisiennes.
• Dans cette campagne toujours active (commencée fin 2021), les attaquants ont mis en place de faux sites web à l’apparence légitime. Ces sites incitent les consommateurs à télécharger des applications malveillantes.
• Les cybercriminels utilisent ces faux sites de commerce électronique pour tenter d’obtenir des identifiants bancaires. Les applications transmettent également tous les SMS reçus par la victime aux opérateurs des malwares au cas où ils contiendraient des codes de 2FA envoyés par la banque.
• Pour l’instant, la campagne vise exclusivement la Malaisie, mais elle pourrait s’étendre à d’autres pays et banques par la suite. Les attaquants pourraient également intégrer le vol d’informations de cartes bancaires directement dans les applications malveillantes.iT-News (ESET Research met en garde) – Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont analysé trois applications Android malveillantes ciblant les clients de huit banques malaisiennes. Pour abuser des clients qui ont eu de plus en plus recours aux achats en ligne pendant la pandémie, les cybercriminels incitent les acheteurs potentiels à télécharger des applications malveillantes. Les acteurs malveillants tentent via cette campagne de voler des identifiants bancaires en utilisant de faux sites web qui se font passer pour des services légitimes, en allant jusqu’à copier l’original. Ces sites web utilisent des noms de domaine similaires à ceux des services dont ils usurpent l’identité.
« Pour rendre encore plus pratique l’approche déjà conviviale du shopping en ligne, les gens utilisent de plus en plus leurs smartphones pour faire leurs achats. Les achats sur smartphone représentent la majorité des commandes d’achat en ligne, la plupart provenant d’applications spécifiques à chaque fournisseur, » explique Lukáš Štefanko, chercheur chez ESET, qui a analysé les applications malveillantes.
Cette campagne a été signalée pour la première fois fin 2021. Les attaquants se faisant alors passer pour le service de nettoyage légitime Maid4u. Diffusée via des publicités sur Facebook, la campagne incitait les victimes potentielles à télécharger un malware Android à partir d’un site web malveillant. En janvier 2022, MalwareHunterTeam a identifié trois autres sites web malveillants et chevaux de Troie Android attribués à cette campagne. Les chercheurs d’ESET ont récemment découvert quatre autres faux sites web. Les sept sites web se font passer pour des services qui ne sont disponibles qu’en Malaisie.
Les sites copiés n’offrent pas la possibilité d’y faire directement des achats. Au lieu de cela, ils comprennent des boutons qui prétendent télécharger des applications depuis Google Play. Ces boutons n’amènent cependant pas réellement à la boutique Google Play, mais à des serveurs contrôlés par les cybercriminels. Pour réussir, cette attaque exige que les victimes ciblées activent l’option par défaut « Installer des applications inconnues » sur leurs appareils. Lorsque le moment est venu de payer la commande, les victimes se voient proposer plusieurs options de paiement : elles peuvent payer soit par carte bancaire, soit en transférant le montant requis depuis leur compte bancaire. Au moment où cette recherche a été conduite, il n’était pas possible de sélectionner l’option de paiement par carte bancaire.
Après avoir choisi l’option de transfert direct, les victimes se voient présenter une fausse page de paiement FPX et sont invitées à choisir leur banque parmi les huit banques malaisiennes proposées, puis à saisir leurs identifiants. Les banques visées sont Maybank, Affin Bank, Public Bank Berhad, CIMB bank, BSN, RHB, Bank Islam Malaysia et Hong Leong Bank. Après avoir soumis leurs informations bancaires, les victimes reçoivent un message d’erreur les informant que l’ID utilisateur ou le mot de passe qu’elles ont fourni n’est pas valide. À ce stade, les informations d’identification saisies ont été envoyées aux opérateurs du malware. Pour s’assurer que les pirates sont ne mesure d’accéder aux comptes bancaires de leurs victimes, les fausses applications transmettent également tous les SMS reçus par la victime aux opérateurs, au cas où ils contiendraient des codes d’authentification à deux facteurs (2FA) envoyés par la banque.
« La campagne vise exclusivement la Malaisie pour le moment, mais elle pourrait s’étendre à d’autres pays et banques par la suite. Les attaquants ne cherchent pour l’instant qu’à obtenir des identifiants bancaires. Ils pourraient voler des informations relatives aux cartes bancaires à l’avenir, » ajoute M. Štefanko.
ESET Research a trouvé le même code malveillant dans les trois applications analysées, ce qui nous amène à conclure qu’elles peuvent toutes être attribuées au même groupe.
Pour vous protéger contre ce type de menace, veillez d’abord à n’utiliser que des sites web légitimes pour vos achats :
• Vérifiez si le site web est sécurisé, c’est-à-dire si son URL commence par https://. Certains navigateurs peuvent même refuser d’ouvrir des sites web non HTTPS et avertir explicitement les utilisateurs ou leur proposer une option pour activer le mode HTTPS uniquement.
• Méfiez-vous des publicités et des résultats de moteurs de recherche payants.
• Faites attention à la source des applications que vous téléchargez. Assurez-vous d’être effectivement redirigé vers la boutique Google Play.
• Utilisez un système de 2FA logiciel ou matériel au lieu des SMS lorsque cela est possible, et utilisez des solutions de sécurité mobiles.
À propos d’ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique pour protéger le patrimoine numérique des entreprises, les infrastructures critiques et les consommateurs du monde entier contre des cybermenaces. Nous protégeons les terminaux fixes et mobiles, les outils collaboratifs et assurons la détection et le traitement des incidents. Établit dans le monde entier, nos centres de R&D récoltent et analysent les cybermenaces pour protéger nos clients et notre monde numérique.
Pour plus d’informations, consultez www.eset.com/na
et suivez-nous sur LinkedIn, Facebook et Twitter.