Le trojan bancaire “Banker.BR” s’attaque à Android

Le cheval de Troie bancaire “Banker.BR” dérobe les identifiants bancaires en ligne des utilisateurs d’Android et prend le contrôle de leurs comptes bancaires en utilisant des techniques d’attaque par superposition «élaborées».

Le malware, nommé «Banker.BR» par des chercheurs d’IBM X-Force, a été repéré dans des messages ciblant des utilisateurs de pays hispanophones ou lusophones (y compris l’Espagne, le Portugal, le Brésil et d’autres parties de l’Amérique latine). Les chercheurs ont déclaré que le logiciel malveillant était en développement continu, et ils ont mis en garde contre les capacités de superposition étendues et les améliorations de code dans les mois à venir.

«Selon notre analyse, le code de Banker.BR est entièrement nouveau et ne repose pas sur du code divulgué précédemment ni sur des logiciels malveillants existants», ont déclaré Ben Wagner et Limor Kessem, chercheurs d’IBM X-Force, dans une analyse. «Alors que notre équipe a vu des versions antérieures de ce cheval de Troie, qui ne comportait qu’un voleur de SMS basique, la dernière version a une nouvelle fonctionnalité, plus élaborée, de la technique de superposition de logiciels malveillants – une tactique commune à la plupart des malwares bancaires sur Android.»

Le malware se propage via des messages qui conduisent les utilisateurs vers un domaine malveillant contrôlé par les pirates. Le domaine demande aux victimes de télécharger la version la plus récente d’une prétendue «application de sécurité» requise pour les services bancaires mobiles. Si les victimes cliquent sur le bouton de mise à jour, elles lancent involontairement le téléchargement de logiciels malveillants à partir d’une plateforme de partage de fichiers légitime.

Limor Kessem, conseiller exécutif en sécurité chez IBM Security, a déclaré que la plate-forme de partage de fichiers n’avait pas été révélée – mais “son identité ne joue pas nécessairement un rôle important puisque les criminels la changent constamment pour échapper à la détection et au blocage”, a-t-il déclaré.

Banker.BR est programmé dans le langage de programmation B4X, une version moderne de Visual Basic qui fait partie d’une suite d’environnements de développement intégrés rapides (IDE). Ce language est utilisé pour créer des applications Android et iOS. B4X n’est pas souvent utilisé pour les logiciels malveillants, qui sont plutôt développés avec les langages de programmation Java/Kotlin (qui font partie de la plate-forme Android Studio Development Essentials).

Après avoir été installé sur l’appareil de la victime, le malware récupère les informations de l’appareil, y compris le numéro de téléphone, l’IMEI (International Mobile Equipment Identity), l’IMSI (International Mobile Subscriber Identity) et le numéro de série SIM. Il envoie ensuite ces données vers le serveur de commande et de contrôle(C2), dont l’adresse de domaine se trouve dans le code du logiciel malveillant.

Semblable à d’autres souches de logiciels malveillants de superposition, Banker.BR abuse du service d’accessibilité sur les téléphones afin de s’octroyer des autorisations à l’insu de la victime. Ces autorisations permettent au malware d’accéder aux contacts, à la caméra, aux SMS et plus encore.

Banker.BR

“En abusant du service d’accessibilité sur l’appareil, un moyen relativement courant pour les applications malveillantes Android de garder un œil sur l’application qui s’exécute au premier plan, [Banker.BR] attend une correspondance dans le but de lancer des écrans de superposition au bon moment et dans le bon contexte pour tromper l’utilisateur en exploitant ses informations d’identification dans la superposition », ont déclaré les chercheurs.

Une fois que la victime accède à un domaine bancaire, le malware déploie ensuite un écran de superposition, qui comporte généralement le logo de la banque et demande les informations de connexion de l’utilisateur. La victime entre ces informations d’identification, les envoyant sans le vouloir au pirate. Le hacker peut désormais accéder au compte bancaire de la victime et lancer des virements frauduleux. Le logiciel malveillant peut également exfiltrer les SMS des victimes, ce qui lui permet de saisir, le cas échéant, tout code d’authentification à deux facteurs (2FA) envoyé à l’utilisateur par la banque.

Banker.BR contient quelques détails qui montrent qu’il est clairement encore en cours de développement. Par exemple, les logiciels malveillants ne sont pas obscurcis, ce qui facilite la rétro-ingénierie, selon les chercheurs. Et le cheval de Troie ne vérifie pas s’il s’exécute dans un environnement virtualisé (ou s’il est en cours de débogage) avant son installation sur un appareil.

banking.br

De plus, contrairement aux logiciels malveillants de superposition similaires, les écrans de superposition de Banker.BR sont intégrés au logiciel malveillant et ne sont pas récupérés depuis le serveur C2 de l’attaquant en temps réel. Les chercheurs ont déclaré qu’il s’agissait «d’une méthode moins agile qui ne permet pas de mettre à jour rapidement les faux écrans, mais nécessite plutôt une mise à jour du logiciel malveillant pour apporter des modifications. Il expose également tous les écrans disponibles à ceux qui analysent le malware. »

Malgré ces inconvénients, les chercheurs ont déclaré qu’il est clair que Banker.BR devient de plus en plus sophistiqué. Par exemple, très tôt, le malware n’a pu dérober que des SMS – mais il a depuis évolué pour incorporer des capacités d’attaque par superposition. Les chercheurs ont averti qu’il pourrait y avoir des développements à venir, tels que de nouveaux écrans de superposition ajoutés pour d’autres banques ciblées.

“Nous pensons que Banker.BR est un projet en cours et que nous pourrions voir des progrès dans les mois à venir, mais pour le moment nous ne connaissons pas le niveau de compétence précis et les capacités des développeurs”, a déclaré Kessem. “Actuellement, le logiciel malveillant n’est pas considéré comme très sophistiqué, mais il est certainement efficace et ce niveau de sophistication peut changer avec le temps – comme c’est souvent le cas avec les logiciels malveillants.”

Il a ajouté: «Jusqu’à présent cette année, nous constatons davantage d’attaques contre des banques en Amérique latine, il est donc possible que Banker.BR indique que davantage de cybercriminels déplacent des logiciels malveillants d’Amérique latine vers l’Europe afin de tirer parti de l’utilisation d’outils dans la même langue sans avoir à investir dans la leur. Bien sûr, ils ont toujours besoin d’un réseau de mules localisé et de ressources, comme un service de spam et des serveurs locaux, pour opérer dans un espace géographique différent. »

Banker.BR, pas le premier et sûrement pas le dernier

Banker.BR n’est pas le premier malware de superposition à être découvert ciblant les pays lusophones et hispanophones. Un peu plus tôt ce mois-ci, les chercheurs ont mis en garde contre une attaque de malware par superposition à distance qui exploitait un faux plug-in de navigateur Chrome pour cibler les comptes de clients bancaires en Espagne.