Le malware Alien contourne la sécurité 2FA sur Android

Un cheval de Troie bancaire nouvellement découvert appelé Alien infecte les appareils Android dans le monde entier, en utilisant une capacité avancée de contourner les mesures de sécurité d’authentification à deux facteurs (2FA) pour voler les informations d’identification des victimes.

Une fois qu’il a infecté un appareil, le RAT a pour objectif de dérober les mots de passe d’au moins 226 applications mobiles – y compris des applications bancaires, ainsi qu’une multitude d’applications de collaboration et sociales comme Snapchat, Telegram et Microsoft Outlook.

Le logiciel malveillant, qui a été présenté pour la première fois sur des forums clandestins en Janvier, a été utilisé pour cibler activement des institutions du monde entier, notamment l’Australie, la France, l’Allemagne, l’Italie, la Pologne, l’Espagne, la Turquie, le Royaume-Uni et les États-Unis. Les chercheurs pensent qu’Alien est une «fourchette» du tristement célèbre malware bancaire Cerberus, qui a connu une diminution constante de son utilisation au cours de l’année écoulée.

«En se basant sur nos connaissances approfondies du cheval de Troie, nous pouvons prouver que le malware Alien est basée sur la variante initiale de Cerberus (v1), actif depuis début janvier 2020 et loué en même temps que Cerberus», ont déclaré des chercheurs de ThreatFabric, dans une analyse. «Cerberus étant interrompu, ses clients semblent se tourner vers Alien, qui est devenu le nouveau MaaS [malware en tant que service] de premier plan pour les criminels.

Le malware Alien

Le RAT Alien dispose de diverses fonctionnalités de logiciels malveillants Android couramment utilisées, notamment la possibilité de lancer des attaques par superposition, de contrôler et de voler des messages SMS et de récolter des listes de contacts, ainsi que des fonctionnalités d’enregistrement de frappe, de collecte de localisation et autres.

Cependant, il vante également plusieurs techniques plus avancées, y compris un renifleur de notification qui lui permet d’accéder à toutes les nouvelles mises à jour sur les appareils infectés. Cela inclut les codes 2FA, permettant au malware de contourner les mesures de sécurité 2FA.

Alien exploite cette tactique en abusant de «android.permission.BIND_NOTIFICATION_LISTENER_SERVICE» pour obtenir le contenu des notifications de la barre d’état sur l’appareil infecté. Alors que normalement l’utilisateur devrait accorder cette autorisation manuellement dans les paramètres, le logiciel malveillant contourne ce barrage en utilisant les privilèges d’accessibilité sur les appareils Android, effectuant par lui-même toutes les interactions nécessaires.

alien

Pour ce faire, il utilise une fonctionnalité d’accès à distance avancée qui abuse de l’application TeamViewer, donnant au pirate informatique derrière le malware le contrôle à distance des appareils de la victime. TeamViewer est une application logicielle propriétaire utilisée pour le contrôle à distance, le partage de bureau et les réunions en ligne.

«Lorsque TeamViewer est activé avec succès, il fournit aux acteurs un contrôle à distance complet de l’interface utilisateur de l’appareil, leur permettant d’accéder aux paramètres de l’appareil et de les modifier, d’installer et de supprimer des applications, mais aussi d’utiliser toute application installée sur l’appareil (applications bancaires, messages et réseaux sociaux) », ont déclaré les chercheurs. “En surveillant l’appareil en temps réel, les pirates peuvent également obtenir des informations précieuses sur le comportement de l’utilisateur.”

On ne sait pas comment Alien se propage initialement, mais étant donné que le malware est loué, de nombreuses tactiques de vecteur d’attaque initiale différentes peuvent être utilisées, y compris l’hameçonnage ciblé, la distribution via des applications tierces, etc.

Lien avec Cerberus

Cerberus est quant à lui apparu pour la première fois en Août dernier sur des forums clandestins, proposés dans un modèle de location MaaS. À l’époque, il était présenté comme un cheval de Troie bancaire standard. Pas plus tard qu’en Juillet, le logiciel malveillant a été découvert dans une application Android malveillante sur le marché des applications Google Play, qui comptait 10 000 téléchargements.

Cependant, au cours de cette dernière année, de nombreux problèmes techniques sont survenus, ce qui a conduit à des clients mécontents. Les auteurs de Cerberus ont donc décidé de mettre fin au service de location et de rembourser les titulaires de licences actives. Le 10 août, l’auteur du malware a partagé le code source du cheval de Troie avec le public.

cerberus

Pendant ce temps, les chercheurs ont déclaré qu’en Février, ils avaient commencé à voir des campagnes simultanées utilisant les deux chevaux de Troie – cependant, il semblait que le nouveau malware Alien fonctionnait séparément et était légèrement différent de Cerberus.

La plus grande différence entre les deux échantillons est la technique de vol 2FA d’Alien, une fonctionnalité qui manquait à Cerberus, ont-ils déclaré. Une autre caractéristique distinctive d’Alien est sa capacité de RAT, qui a été implémentée séparément du gestionnaire de commande principal, en utilisant différents points de terminaison de commande et de contrôle (C2).

“En regardant ce que nous savons maintenant sur ce qui s’est passé avec Cerberus et Alien, nous pourrions supposer que Cerberus était sur le déclin alors que les développeurs derrière le cheval de Troie se sont éloignés du projet avec la source d’origine pour démarrer le leur”, ont déclaré les chercheurs.

Prochaines étapes

Les chercheurs soulignent ce lien entre Cerberus et Alien comme une tendance dans le paysage des menaces à surveiller. Ils ont prédit que davantage de nouvelles familles de logiciels malveillants, basées sur Cerberus, émergeraient au cours du dernier trimestre de 2020. En ce qui concerne spécifiquement Alien, les chercheurs ont déclaré qu’ils s’attendaient à ce que les auteurs des logiciels malveillants améliorent continuellement sa fonctionnalité d’accès à distance.

«Ils pourraient également créer une fonction ATS [système de transfert automatique] pour automatiser le processus de fraude», ont déclaré les chercheurs. «Ce qui peut être considéré comme acquis, c’est que le nombre de nouveaux chevaux de Troie bancaires ne fera qu’augmenter, beaucoup intégrant des fonctionnalités nouvelles et améliorées pour augmenter le taux de réussite de la fraude.»

Les chercheurs recommandent à toutes les institutions financières à comprendre leur exposition actuelle et future aux menaces et, par conséquent, à mettre en œuvre les mécanismes de détection et de contrôle appropriés.

«L’aspect le plus important à prendre en compte est la sécurisation des canaux bancaires en ligne, ce qui rend la fraude difficile à effectuer, décourage les criminels de tenter les attaques et rend moins utile pour eux la création de plus de logiciels malveillants», ont-ils écrit.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x