Malware Android Piratant des Comptes Bancaires Avec de Faux Messages de Mise à Jour Chrome

Des chercheurs en sécurité ont découvert un nouveau cheval de Troie bancaire Android capable de voler des informations sensibles des utilisateurs et de permettre aux attaquants de contrôler à distance des appareils infectés.

« Brokewell est un malware bancaire moderne typique équipé de capacités de vol de données et de contrôle à distance intégrées dans le malware », a déclaré la société de sécurité néerlandaise ThreatFabric dans une analyse publiée jeudi.

Selon ThreatFabric, Brokewell représente une menace significative pour l’industrie bancaire, fournissant aux attaquants un accès à distance à tous les actifs disponibles via la banque mobile. Le malware a été découvert par les chercheurs lors de l’examen d’une page « mise à jour » du navigateur web Google Chrome, couramment utilisée par les cybercriminels pour inciter les victimes à télécharger et installer des malwares.

En examinant les campagnes précédentes, les chercheurs ont constaté que Brokewell avait été utilisé pour cibler un service financier populaire « acheter maintenant, payer plus tard » et une application d’authentification numérique autrichienne.

Le malware serait en développement actif, avec de nouvelles commandes ajoutées presque quotidiennement pour capturer chaque événement sur l’appareil, des frappes et des informations affichées à l’écran aux entrées de texte et aux applications lancées par la victime.

Une fois téléchargé, Brokewell crée un écran superposé sur une application ciblée pour capturer les identifiants de l’utilisateur. Il peut également voler des cookies de navigateur en lançant son propre WebView, en remplaçant la méthode onPageFinished, et en vidant les cookies de session après que l’utilisateur a terminé le processus de connexion.

« Brokewell est équipé de « journalisation d’accessibilité », capturant chaque événement se produisant sur l’appareil : touches, balayages, informations affichées, saisie de texte et applications ouvertes. Toutes les actions sont enregistrées et envoyées au serveur de commande et de contrôle, volant effectivement toute donnée confidentielle affichée ou saisie sur l’appareil compromis », soulignent les chercheurs de ThreatFabric.

« Il est important de souligner que, dans ce cas, toute application est à risque de compromission des données : Brokewell enregistre chaque événement, posant une menace à toutes les applications installées sur l’appareil. Ce malware prend également en charge une variété de fonctionnalités de « spyware » : il peut collecter des informations sur l’appareil, l’historique des appels, la géolocalisation et enregistrer de l’audio. »

Après avoir volé les identifiants, les attaquants peuvent initier une attaque de prise de contrôle de l’appareil en utilisant des capacités de contrôle à distance pour effectuer un streaming d’écran. Cela fournit également à l’acteur de menace une gamme de diverses commandes pouvant être exécutées sur l’appareil contrôlé, telles que des touches, des balayages et des clics sur des éléments spécifiés.

ThreatFabric a découvert qu’un des serveurs utilisé comme point de commande et de contrôle (C2) pour Brokewell était également utilisé pour héberger un dépôt appelé « Brokewell Cyber Labs », créé par un acteur de menace appelé « Baron Samedit ».

Ce dépôt comprenait le code source pour le « Brokewell Android Loader », un autre outil du même développeur conçu pour contourner les restrictions que Google a introduites dans Android 13 et plus tard pour empêcher l’exploitation du Service d’accessibilité pour les applications chargées latéralement (APKs).

Selon ThreatFabric, Baron Samedit est actif depuis au moins deux ans, fournissant des outils à d’autres cybercriminels pour vérifier des comptes volés de plusieurs services, ce qui pourrait encore être amélioré pour soutenir une opération de malware en tant que service.

« Nous anticipons une évolution supplémentaire de cette famille de malwares, car nous avons déjà observé des mises à jour presque quotidiennes du malware. Brokewell sera probablement promu sur des canaux souterrains en tant que service de location, attirant l’intérêt d’autres cybercriminels et suscitant de nouvelles campagnes ciblant différentes régions », concluent les chercheurs.

Ainsi, le seul moyen d’identifier et de prévenir efficacement les fraudes potentielles provenant de familles de malwares comme le nouvellement découvert Brokewell est d’utiliser une solution de détection de fraude complète et multicouche basée sur une combinaison d’indicateurs, y compris les risques liés aux appareils, au comportement et à l’identité de chaque client.

Pour vous protéger contre les infections de malware Android, il est conseillé d’éviter de charger des applications latéralement ou d’ouvrir des URL courtes dans des messages texte et d’être très prudent lors de l’octroi de permissions aux applications que vous installez. De plus, ne téléchargez pas d’applications ou de mises à jour d’applications sur votre téléphone Android en dehors du Google Play Store.

De plus, gardez Google Play Protect activé sur votre appareil Android à tout moment pour analyser toutes vos applications actuelles et toutes nouvelles applications que vous téléchargez à la recherche de malwares. Vous pouvez également envisager d’installer un logiciel antivirus Android supplémentaire pour une sécurité accrue.

Google a confirmé à Securityweek que Google Play Protect, qui est activé par défaut sur les appareils Android avec Google Play Services, protège automatiquement les utilisateurs contre les versions connues de ce malware.

Il avertit également les utilisateurs ou bloque les applications connues pour exhiber un comportement malveillant, même lorsque ces applications proviennent de sources extérieures à Play.