Cyberattaques sur Android
Des hackers Android s’attaquent désormais à plus de 800 applications dans les secteurs bancaire, de la cryptomonnaie et des médias sociaux. La société de cybersécurité Zimperium a révélé que ses chercheurs ont identifié quatre familles de logiciels malveillants actifs qui exploitent une infrastructure avancée de commande et de contrôle pour voler des identifiants, effectuer des transactions financières non autorisées et exfiltrer des données à grande échelle.
« Collectivement, ces campagnes ciblent plus de 800 applications dans les secteurs bancaire, de la cryptomonnaie et des médias sociaux. En utilisant des techniques avancées d’anti-analyse et de falsification de la structure APK, ces familles maintiennent souvent des taux de détection proches de zéro face aux mécanismes de sécurité traditionnels basés sur des signatures », a déclaré Zimperium.
Familles de logiciels malveillants
Les familles de logiciels malveillants identifiées sont RecruitRat, SaferRat, Astrinox et Massiv. Les attaquants s’appuient fréquemment sur des sites de phishing, des offres d’emploi frauduleuses, de fausses mises à jour logicielles, des escroqueries par SMS et des appâts promotionnels pour inciter les victimes à installer des applications Android malveillantes.
Fonctionnalités des logiciels malveillants
Une fois installés, ces logiciels malveillants peuvent :
- Demander des autorisations d’accessibilité
- Cacher des icônes d’application
- Bloquer les tentatives de désinstallation
- Voler des codes PIN et des mots de passe via de faux écrans de verrouillage
- Capturer des codes d’accès à usage unique
- Diffuser des écrans d’appareil en direct
- Superposer des pages de connexion contrefaites sur des applications bancaires ou de cryptomonnaie légitimes
« Les attaques de superposition demeurent la pierre angulaire du cycle de collecte d’identifiants. En utilisant les services d’accessibilité pour surveiller le premier plan, le logiciel malveillant détecte le moment exact où une victime lance une application financière. Il récupère alors une charge utile HTML malveillante et la superpose à l’interface utilisateur de l’application légitime, créant ainsi une façade trompeuse et très convaincante », a ajouté la société.
Techniques d’évasion
Zimperium a également signalé que ces campagnes utilisent des communications HTTPS et WebSocket pour mélanger le trafic malveillant avec l’activité normale de l’application, tandis que certaines variantes ajoutent des couches de cryptage supplémentaires pour échapper à la détection.
