Les acteurs de la menace distribuent des applications malveillantes sous le couvert d’applications d’achat apparemment inoffensives pour cibler les clients de huit banques malaisiennes depuis au moins novembre 2021.
Les attaques impliquaient la création de sites Web faux mais légitimes pour inciter les utilisateurs à télécharger les applications, a déclaré la société slovaque de cybersécurité ESET dans un rapport partagé avec The Hacker News.
Les sites Web imitateurs se sont fait passer pour des services de nettoyage tels que Maid4u, Grabmaid, Maria’s Cleaning, Maid4u, YourMaid, Maideasy et MaidACall et une animalerie appelée PetsMore, qui ciblent tous les utilisateurs en Malaisie.
“Les acteurs de la menace utilisent ces fausses applications de boutique en ligne pour hameçonner les informations d’identification bancaires”, a déclaré ESET. “Les applications transfèrent également tous les messages SMS reçus par la victime aux opérateurs de logiciels malveillants au cas où ils contiendraient des codes 2FA envoyés par la banque.”
Les banques ciblées sont Maybank, Affin Bank, Public Bank Berhad, CIMB bank, BSN, RHB, Bank Islam Malaysia et Hong Leong Bank.
Les sites, diffusés via des publicités Facebook, encouragent les visiteurs à télécharger ce que les attaquants prétendent être des applications Android disponibles sur le Google Play Store, mais les redirigent en réalité vers des serveurs malveillants sous leur contrôle.
Il convient de noter ici que l’attaque repose sur le principe que les victimes potentielles activent l’option “Installer des applications inconnues” non par défaut sur leurs appareils pour qu’elle réussisse. De plus, cinq des services abusés n’ont même pas d’application sur Google Play.
Une fois lancées, les applications demandent aux utilisateurs de se connecter à leurs comptes, leur permettant de passer de fausses commandes, puis d’afficher des options pour terminer le processus de paiement en incluant un transfert d’argent depuis leurs comptes bancaires.
“Après avoir sélectionné l’option de transfert direct, les victimes sont présentées [with] une fausse page de paiement FPX et on leur a demandé de sélectionner leur banque parmi les huit banques malaisiennes fournies, puis d’entrer leurs informations d’identification », a déclaré Lukáš Štefanko, chercheur sur les logiciels malveillants chez ESET.
Le but ultime de la campagne est de voler les informations d’identification bancaires fournies par les utilisateurs et de les exfiltrer vers le serveur contrôlé par l’attaquant, tout en affichant un message d’erreur indiquant que l’identifiant ou le mot de passe fourni n’est pas valide.
De plus, les fausses applications sont conçues pour accéder et transférer tous les messages SMS reçus par les utilisateurs vers le serveur distant au cas où les comptes bancaires sont sécurisés avec une authentification à deux facteurs.
“Bien que la campagne cible exclusivement la Malaisie pour l’instant, elle pourrait être étendue à d’autres pays et banques plus tard”, a déclaré Štefanko. “À ce stade, les attaquants recherchent des informations d’identification bancaires, mais ils pourraient également permettre le vol d’informations de carte de crédit à l’avenir.”
