Des familles de malwares Android ciblent 800+ applis bancaires et crypto avec des taux de détection quasi nuls : Zimperium

Message de Gate News, 25 avril — La société de cybersécurité Zimperium a identifié quatre familles actives de logiciels malveillants — RecruitRat, SaferRat, Astrinox et Massiv — ciblant plus de 800 applications dans les secteurs bancaire, des cryptomonnaies et des réseaux sociaux. Les campagnes utilisent des techniques d’anti-analyse avancées et de la falsification structurelle des APK pour maintenir des taux de détection quasi nuls face aux mécanismes de sécurité classiques basés sur les signatures.

Les attaquants utilisent des sites de phishing, des offres d’emploi frauduleuses, de fausses mises à jour logicielles, des arnaques par SMS et des leurres promotionnels pour tromper les utilisateurs et les amener à installer des applications Android malveillantes. Une fois installés, les logiciels malveillants demandent des autorisations d’Accessibilité pour masquer les icônes des applications, bloquer les tentatives de désinstallation, voler des NIP et des mots de passe via de faux écrans de verrouillage, intercepter des codes à usage unique, enregistrer les écrans en direct de l’appareil et superposer des pages de connexion contrefaites sur des applications bancaires ou crypto légitimes.

Les attaques par superposition constituent le cœur de la stratégie de collecte des identifiants. Le logiciel malveillant surveille l’application au premier plan à l’aide des Services d’Accessibilité et détecte quand une victime lance une application financière, puis récupère une charge utile HTML malveillante et la superpose à l’interface légitime pour créer une apparence trompeuse convaincante.

Les campagnes utilisent les communications HTTPS et WebSocket pour mélanger le trafic malveillant avec l’activité normale des applications, certaines variantes employant des couches supplémentaires de chiffrement afin d’échapper encore davantage à la détection.