Zimperium détecte une campagne coordonnée de malwares mobiles ciblant les applications bancaires dans le monde entier

septembre 2024 par Zimperium

Gigabud manipule ainsi les utilisateurs afin qu’ils accordent des autorisations sensibles, conduisant à des transactions frauduleuses, pendant que Spynote permet aux attaquants de prendre le contrôle total des appareils infectés. Cette coordination entre Gigabud et Spynote démontre une nouvelle fois que le niveau des cyberattaques sur mobiles continue à évoluer.

Nico Chiaraviglio, Chief Scientist chez Zimperium, commente : « La connexion entre Gigabud et Spynote démontre la complexité croissante des attaques de malware mobiles. Nos dernières recherches soulignent l’importance cruciale de la détection en temps réel sur l’appareil pour se protéger contre ces menaces qui évoluent rapidement. »

Les recherches du zLabs ont permis de révéler les faits suivants :

● Menaces interconnectées : il existe une forte corrélation entre les familles de malwares Gigabud et Spynote. Les domaines qui diffusent Gigabud distribuent également Spynote, ce qui suggère un effort coordonné de la part d’un seul acteur de la menace. Alors que Spynote permet aux attaquants de contrôler des appareils à distance, de voler des données, d’enregistrer des médias et de suivre des emplacements, Gigabud se concentre sur le vol d’informations d’identification d’applications bancaires. Ce lien indique une menace est plus vaste et mieux coordonnée.

● Ciblage mondiale : La campagne impacte les institutions financières du monde entier, les sites de phishing se faisant passer pour de grandes compagnies aériennes, des plateformes de e-commerce et des services gouvernementaux. Zimperium a identifié 11 serveurs de commande et de contrôle et 79 sites de phishing imitant des marques dignes de confiance (Ethiopian Airlines ou des sites de prêts vietnamiens). Ces sites incitent les utilisateurs à télécharger des applications mobiles malveillantes ou à accorder des autorisations étendues, donnant ainsi aux hackers un accès à l’ensemble de l’appareil mobile.

● Nouvelle orientation : Les chercheurs de zLabs ont constaté que plus de 50 applications mobiles financières, dont plus de 40 banques et 10 plateformes de crypto-monnaies, ont été spécifiquement ciblées lors de cette campagne. Ces découvertes suggèrent un changement d’orientation des hackers qui sont passés des usurpations d’identité gouvernementales au ciblage direct des institutions financières.

● Obfuscation avancée : le malware est protégé par Virbox, un packer qui complique la détection et l’analyse. Cette technique d’obscurcissement avancée lui permet d’échapper aux défenses traditionnelles, augmentant ainsi son efficacité.

La coordination entre Gigabud et Spynote est une étape significative dans l’évolution des campagnes de malware mobiles, les hackers ciblant les institutions financières dans le monde entier. Il est difficile pour les défenses traditionnelles de détecter et stopper une telle campagne, du fait de son ampleur, de l’utilisation de sites de phishing pour promouvoir des applications mobiles malveillantes et des techniques d’obscurcissement avancées.

Bien que cette campagne vise initialement les applications bancaires destinées au grand public, la sophistication des malwares et spywares téléchargés sur l’appareil mobile peuvent laisser penser que les applications et les données de l’entreprise qui se trouvent sur l’appareil pourraient également être compromises entraînant le vol d’informations d’identification, le détournement d’OTP et l’infiltration du réseau de l’entreprise.

Les entreprises doivent donc donner la priorité aux mesures de sécurité mobile en temps réel et sur l’appareil.