New Android Malware Wave Hits Banking via NFC Relay Fraud, Call Hijacking, and Root Exploits

Nouvelle Vague de Malware Android Ciblant les Transactions Bancaires

Une nouvelle famille de logiciels malveillants Android, baptisée “PhantomCard”, exploite la technologie NFC (Near Field Communication) pour mener des attaques par relais. Distribué via de fausses pages web imitant des applications de protection bancaire sur Google Play, ce malware permet aux fraudeurs de relayer les données de cartes bancaires de victimes vers un serveur contrôlé par l’attaquant, permettant ainsi des transactions frauduleuses. Le processus implique que la victime place sa carte près de son téléphone pour une “vérification”, moment où les données sont interceptées. Le logiciel malveillant demande ensuite à la victime de saisir son code PIN, qui est également transmis au cybercriminel pour authentifier la transaction. L’attaquant peut ensuite utiliser la carte comme s’il la possédait physiquement, grâce à une application équivalente installée sur un appareil complice. Ce type de service est proposé sur des plateformes clandestines.

Parallèlement, une campagne de malware Android nommée SpyBanker vise les utilisateurs de banques en Inde. Ce malware, probablement distribué via WhatsApp sous l’apparence d’une application d’aide client, modifie le renvoi d’appels pour rediriger les appels des victimes vers un numéro contrôlé par l’attaquant. Il est également capable de collecter des informations sur la carte SIM, des données bancaires sensibles, des SMS et des notifications. D’autres malwares ciblent les utilisateurs indiens en volant des informations financières tout en installant un mineur de cryptomonnaie. Ces applications frauduleuses sont distribuées via des pages d’hameçonnage convaincantes utilisant des éléments visuels de sites bancaires officiels.

Enfin, des recherches ont mis en évidence que des frameworks de root pour Android, tels que KernelSU, APatch et SKRoot, peuvent être exploités. Une faille dans KernelSU (version 0.5.7) pourrait permettre à des applications malveillantes d’obtenir un accès administrateur et de compromettre entièrement un appareil Android rooté, à condition que l’application malveillante soit exécutée avant le gestionnaire KernelSU légitime. L’absence d’authentification et de contrôle d’accès robustes dans certains frameworks de root ouvre la porte à ces prises de contrôle.

Points Clés :

• Attaques NFC par Relais : Des malwares comme PhantomCard exploitent la technologie NFC pour voler des données de cartes bancaires et effectuer des transactions frauduleuses.
• Ingénierie Sociale : La distribution des malwares se fait souvent via de fausses applications et des pages web d’hameçonnage convaincantes.
• Vol de Données Sensibles : Outre les données bancaires, les malwares peuvent collecter des informations personnelles, des SMS et des détails de la carte SIM.
• Reroutage d’Appels : Certains malwares peuvent détourner les appels des victimes vers les attaquants.
• Exploitation des Privilèges Root : Des vulnérabilités dans des frameworks de root peuvent permettre une compromission totale des appareils Android.

Vulnérabilités :

• KernelSU version 0.5.7 : Une faille permettant une authentification en tant que gestionnaire KernelSU et une compromission complète de l’appareil si une application malveillante est exécutée avant le gestionnaire légitime. (Aucun CVE spécifié dans l’article).

Recommandations :

• Vigilance accrue : Télécharger des applications uniquement depuis des sources officielles comme le Google Play Store.
• Analyse des autorisations : Examiner attentivement les autorisations demandées par les applications, en particulier celles liées à l’NFC ou à l’accès aux appels.
• Sécurité des appareils : Maintenir le système d’exploitation Android et toutes les applications à jour pour bénéficier des derniers correctifs de sécurité.
• Prudence avec les liens : Éviter de cliquer sur des liens suspects reçus par SMS ou email, surtout s’ils proviennent de sources inconnues.
• Authentification forte : Pour les frameworks de root, s’assurer que des mécanismes d’authentification et de contrôle d’accès solides sont en place.
• Surveillance des transactions : Vérifier régulièrement les relevés bancaires pour détecter toute activité suspecte.

Source