Le centre de recherche F5 Labs était aux trousses du spyware FluBot lorsqu’il détecte une nouvelle menace : MaliBot. Il s’agit d’un cheval de Troie bancaire à propagation rapide, déguisé en application de minage de crypto. Ce trojan qui se concentre sur le vol d’informations financières cible les téléphones Android.
Un voleur d’informations financières
D’après les observations des chercheurs de F5 Labs (ce centre effectue des recherches actives et passives sur les menaces), MaliBot a principalement été conçu pour voler des données sensibles.
Le trojan vise principalement les identifiants des comptes bancaires en ligne, mais aussi les portefeuilles de cryptomonnaie dont Binance et Trust. Les chercheurs ont découvert de nombreuses autres fonctionnalités du MaliBot.
La menace collecte aussi les cookies ainsi que les informations d’identification des comptes Google de la victime à l’aide de WebView. Les chercheurs évoquent également la capacité du Malware à contourner l’authentification à deux facteurs.
Les différents modes de distribution
Selon les chercheurs, les opérateurs derrière MaliBot distribuent le trojan via différents canaux. Sur le Web, ils ont développé de faux sites qui proposent des applications malveillantes de cryptomonnaies : TheCryptoApp et Mining X. En cliquant sur les liens de téléchargement, la cible infecte son appareil.
MaliBot est également distribué grâce à une campagne de smishing. MaliBot est en effet capable d’envoyer des SMS à la demande. Les messages sont utilisés pour déployer le Malware mais aussi pour mener des campagnes de fraude par SMS.
Les investigations des chercheurs de F5 ont permis de découvrir que MaliBot cible aujourd’hui les utilisateurs en Espagne et en Italie. Mais au vu de la rapidité de sa propagation, d’autres pays comme les États-Unis ou l’Indonésie sont potentiellement dans son collimateur.
Un banking trojan de conception russe
MaliBot serait un cheval de Troie de conception russe. Les chercheurs expliquent : « Le système de commande et de contrôle (C2) de MaliBot se trouve en Russie et semble utiliser les mêmes serveurs que ceux utilisés pour distribuer le Malware Sality »
Pour rappel, Sality est un botnet exploité par un gang de hackers russes. F5 Labs présente MaliBot comme une refonte du Malware SOVA, un mot russe qui signifie hibou. « Il s’agit d’une refonte fortement modifiée du logiciel malveillant SOVA, avec des fonctionnalités, des cibles, des serveurs C2, des domaines et des schémas de conditionnement différents », précisent les chercheurs.
Ce cheval de Troie bancaire exploite l’API d’accessibilité d’Android pour mener des actions au nom de l’utilisateur. Cette capacité permet aussi à la menace de maintenir sa persistance en plus du vol de données. Voilà une menace sérieuse en devenir.
Protégez-vous de toutes les formes de cybermenaces en installant un logiciel de protection performant. Choisissez parmi notre top des meilleurs antivirus.
- Partager l'article :