Le banking Trojan Android BrazKing est de retour avec des superpositions bancaires dynamiques et une nouvelle astuce de mise en œuvre. Cela lui permet de fonctionner sans demander des autorisations risquées.
Ne demander qu’une seule autorisation
Des chercheurs d’IBM Trusteer ont analysé un nouvel échantillon de Malware trouvé en dehors du Play Store. Cet échantillon a été retrouvé sur des sites où les gens se retrouvent après avoir reçu des messages de smishing.
Ces sites HTTPS avertissent la victime potentielle qu’ils utilisent une version Android obsolète et proposent un APK qui les mettra prétendument à jour vers la dernière version. Le logiciel malveillant est déposé sur l’appareil si l’utilisateur approuve les « téléchargements à partir de sources inconnues ».
Le Malware demande ensuite l’accès au « service d’accessibilité ». Cette autorisation est utilisée pour faire des captures d’écran et de frappes. Et ce, sans demander d’autorisations supplémentaires qui risqueraient d’éveiller des soupçons.
Un système de superposition dynamique
BrazKing n’utilise plus la demande d’API ‘getinstalledpackages’ comme avant. Le Malware utilise la fonction de dissection d’écran pour voir quelles applications sont installées sur l’appareil infecté.
En ce qui concerne la superposition, BrazKing le fait désormais sans l’autorisation « System_Alert_Window ». Il ne peut donc pas superposer un faux écran sur l’application d’origine comme le font les autres chevaux de Troie.
Au lieu de cela, il charge le faux écran en tant qu’URL du serveur de l’attaquant dans une fenêtre d’affichage Web, ajouté à partir du service d’accessibilité. Cela couvre l’application et toutes ses fenêtres, mais n’en force pas la sortie.
Lors de la détection de la connexion à une banque en ligne, au lieu d’afficher des superpositions intégrées, le Malware se connectera désormais au serveur de commande et de contrôle. Et ce, pour recevoir la superposition de connexion correcte à afficher.
Un Malware toujours en évolution avec des versions plus furtives
La nouvelle version de BrazKing protège les ressources internes en appliquant une opération XOR à l’aide d’une clé codée en dur, puis les encode également en Base64. Les analystes peuvent rapidement inverser ces étapes. Mais le Malware passe toujours inaperçu lorsqu’il est imbriqué dans l’appareil de la victime.
L’évolution de BrazKing montre que les auteurs de logiciels malveillants s’adaptent rapidement pour fournir des versions plus furtives de leurs outils à mesure que la sécurité d’Android se renforce.
La possibilité de récupérer les codes 2FA et les informations d’identification rend le cheval de Troie beaucoup plus puissant qu’auparavant. Il en est de même pour sa capacité à prendre des captures d’écran sans accumuler les autorisations
- Partager l'article :