Les pirates utilisent des applications malveillantes pour cibler les clients de 8 banques malaisiennes, selon des chercheurs

by James · October 19, 2022

Des chercheurs de la société de sécurité slovaque ESET ont déclaré avoir découvert que trois applications Android malveillantes ciblaient toujours les clients de huit banques malaisiennes différentes dans le cadre d’une campagne qui a débuté à la fin de l’année dernière.

Le chercheur d’ESET, Lukáš Štefanko, a déclaré à The Record qu’ils n’avaient pas d’informations sur le nombre de téléchargements de ces applications ni sur l’étendue des campagnes. Mais ils ont trouvé des preuves confirmant que les attaquants créent toujours de faux sites Web qui prétendent être des services légitimes.

Certains sites copient directement l’original pour inciter les gens à télécharger les applications. Les applications volent non seulement les informations d’identification bancaires, mais permettent aux attaquants de transférer tous les messages SMS de la victime aux opérateurs de logiciels malveillants au cas où ils contiendraient des codes d’authentification à deux facteurs envoyés par la banque.

Selon ESET, les applications malveillantes sont liées à des sites Web qui usurpent des services légitimes en Malaisie, notamment six services de nettoyage et une animalerie. Les sites comprennent Grabmaid, Maria’s Cleaning, Maid4u, YourMaid, Maideasy et MaidACall, ainsi qu’une animalerie appelée PetsMore, tandis que les banques ciblées sont Maybank, Affin Bank, Public Bank Berhad, CIMB bank, BSN, RHB, Bank Islam Malaysia, et la Banque Hong Leong.

Les sites encouragent les visiteurs à télécharger les applications malveillantes, et Štefanko a déclaré que le passage aux commandes d’achat en ligne via des applications spécifiques aux fournisseurs a conduit à une vague d’applications malveillantes conçues pour inciter les gens à saisir des informations sensibles. Tous les sites vus dans la dernière campagne utilisent des noms de domaine similaires aux services qu’ils prétendent être.

Un site légitime à côté d’une fausse version. Image : ESET

Les attaquants ont même utilisé des publicités Facebook pour distribuer les faux sites, et ESET a déclaré que ses conclusions étaient sauvegardé par MalwareHunterTeamqui a trouvé trois autres sites Web malveillants et des chevaux de Troie Android associés à la campagne.

En décembre, MaidACall a averti ses clients de se méfier des arnaques utilisant leur nom. La section des commentaires contient plusieurs personnes disant qu’elles avaient déjà été arnaquées.

“Les sites imitateurs ne permettent pas d’effectuer des achats directs. Au lieu de cela, ils incluent des boutons qui prétendent télécharger des applications à partir de Google Play. Cependant, cliquer sur ces boutons ne mène pas réellement au Google Play Store, mais à des serveurs sous le contrôle de la menace. acteurs . Pour réussir, cette attaque nécessite que les victimes visées activent l’option “Installer des applications inconnues” non par défaut sur leurs appareils. Fait intéressant, cinq des sept versions légitimes de ces services n’ont même pas d’application disponible sur Google Play ” dit ESET.

« Pour paraître légitimes, les applications demandent aux utilisateurs de se connecter après les avoir lancées ; Cependant, il n’y a pas de validation de compte côté serveur – le logiciel prend toutes les entrées de l’utilisateur et les déclare toujours correctement. En conservant l’apparence d’une véritable boutique en ligne, les applications malveillantes prétendent proposer des biens et des services à l’achat tout en reproduisant l’interface des boutiques d’origine. Lorsqu’il est temps de payer la commande, les victimes disposent d’options de paiement – elles peuvent payer soit par carte de crédit, soit en transférant le montant requis depuis leur compte bancaire. Lors de nos recherches, il n’a pas été possible de sélectionner l’option carte de crédit.

Les utilisateurs sont ensuite redirigés vers une fausse page de paiement FPX et invités à sélectionner leur banque parmi les huit banques malaisiennes fournies.

Bleeping Computer a signalé l’une des applications malveillantes en décembre et ESET a découvert que le même paiement FPX utilisé à l’époque était utilisé par les trois applications découvertes cette année. L’attaque comprenait également des tentatives d’usurpation d’un faux site Web de nettoyage appelé “Cleaning Service Malaysia”.

Une fois les informations de la victime saisies, elles reçoivent un message d’erreur indiquant que leurs informations de connexion ne sont pas valides. À ce stade, leurs informations ont déjà été envoyées à l’attaquant.

“Bien que la campagne ne cible actuellement que la Malaisie, elle pourrait être étendue à d’autres pays et banques plus tard. À ce stade, les attaquants recherchent des informations d’identification bancaires, mais ils peuvent également permettre le vol d’informations de carte de crédit à l’avenir”, ajoute Stefanko.

Jonathan a travaillé dans le monde entier en tant que journaliste depuis 2014. Avant de retourner à New York, il a travaillé pour des organes de presse en Afrique du Sud, en Jordanie et au Cambodge. Il a précédemment couvert la cybersécurité chez ZDNet et TechRepublic.