Les clients de banques mobiles au Brésil sont une nouvelle fois la cible d’un malware capable de prendre le contrôle de leurs appareils, d’exfiltrer des données sensibles et, au final, de réaliser des fraudes bancaires. C’est ce que révèle un récent rapport des chercheurs en cybersécurité de ThreatFabric, qui ont récemment détecté cette campagne malveillante et publié une analyse technique pour mettre en garde les utilisateurs.
Selon les chercheurs, des cybercriminels connus sous le nom de DukeEugene ont envoyé des emails de phishing pour inciter les destinataires à télécharger un dropper Android baptisé Rocinante.
Un malware qui se fait passer pour des applications bancaires légitimes
Ce dropper, qui usurpe généralement l’identité d’applications bancaires et d’opérateurs télécoms tels qu’Itaú Shop, Santander, Bradesco Prime ou encore Correios Celular, demande des autorisations lors de son installation, notamment l’accès au service d’accessibilité. De manière générale, les autorisations liées à ce service sont réservées aux applications système et lorsqu’une application classique les requiert, c’est souvent le signe d’un potentiel malware.
À LIRE AUSSI : Google Pixel 9 : les appels d’urgences ou SOS par satellite débarquent aux États-Unis !
Un accès total à l’appareil grâce au détournement du service d’accessibilité
Si la victime accorde ces autorisations, elle s’expose à la perte de données sensibles et donne aux attaquants le contrôle de son appareil mobile, le malware étant capable d’afficher de fausses pages de connexion aux services bancaires : »Cette famille de malwares est capable d’enregistrer les frappes grâce au service d’accessibilité, et peut également voler des informations personnelles en affichant des écrans d’hameçonnage se faisant passer pour différentes banques« , explique ThreatFabric dans son rapport. « Enfin, il peut utiliser toutes ces informations exfiltrées pour prendre le contrôle total de l’appareil à distance, en exploitant les privilèges du service d’accessibilité. »
Exfiltration des données via un bot Telegram
Les données volées sont ensuite exfiltrées vers un bot Telegram, où elles sont mises à disposition des attaquants en clair, prêtes à être exploitées. « Le bot extrait les informations personnelles utiles obtenues via les fausses pages de connexion aux banques ciblées. Il publie ensuite ces informations, mises en forme, dans une conversation à laquelle les criminels ont accès« , précise ThreatFabric. « Les informations varient légèrement selon la page d’hameçonnage utilisée, et comprennent des données sur l’appareil comme le modèle et le numéro de téléphone, le numéro CPF, le mot de passe ou encore le numéro de compte.«
À LIRE AUSSI : X ferme ses portes au Brésil à cause d’un bras de fer avec la justice locale !
Rester vigilant face aux applications suspectes
Face à cette nouvelle menace, il est recommandé aux utilisateurs brésiliens de faire preuve de prudence lors du téléchargement d’applications, en vérifiant soigneusement leur légitimité et en se méfiant de celles qui demandent des autorisations excessives, en particulier l’accès au service d’accessibilité.
En cas de doute, mieux vaut s’abstenir et privilégier le téléchargement depuis les boutiques d’applications officielles. Une vigilance accrue qui s’impose pour se prémunir contre ce type de malware bancaire de plus en plus sophistiqué.
