Fake IPTV Apps Spread Massiv Android Malware Targeting Mobile Banking Users

Le cheval de Troie bancaire Android “Massiv” se propage via de fausses applications IPTV

Une nouvelle menace Android, baptisée “Massiv”, cible les utilisateurs de services bancaires mobiles en se déguisant en applications IPTV. Ce logiciel malveillant permet aux cybercriminels de prendre le contrôle des appareils infectés et de réaliser des transactions frauduleuses.

Points Clés :

• Distribution : Massiv est distribué via des applications trompeuses imitant des services IPTV. Ces applications, souvent des “droppers”, incitent l’utilisateur à installer une mise à jour “importante”, accordant ainsi les permissions nécessaires à l’installation de logiciels malveillants.
• Ciblage : Les campagnes observées ciblent principalement les utilisateurs au Portugal et en Grèce, bien que des tests plus anciens aient été détectés. Une campagne spécifique a visé l’application publique portugaise gov.pt, permettant de voler des identifiants et codes PIN.
• Méthodes d’attaque :
  • Utilisation de faux superpositions (“overlays”) sur les applications bancaires pour voler des identifiants et des détails de carte bancaire.
  • Capture d’écran et enregistrement de frappes clavier pour obtenir des informations sensibles.
  • Interception de SMS.
  • Prise de contrôle à distance de l’appareil via l’abus des services d’accessibilité Android.
  • La technique d’analyse de l’arbre d’interface utilisateur (UI-tree mode) permet de contourner certaines protections contre la capture d’écran.
• Objectifs : Le vol d’informations financières, l’ouverture de comptes bancaires au nom des victimes à des fins de blanchiment d’argent, ou l’obtention de prêts frauduleux.
• Fonctionnalités : Les fonctionnalités incluent la désactivation de l’écran, le contrôle des clics et des balayages, la modification du presse-papiers, le téléchargement et l’installation d’autres APK, l’accès aux paramètres des applications, et la demande de permissions sensibles (SMS, installation d’APK).
• Développement : Le logiciel malveillant est en cours de développement et pourrait intégrer de nouvelles fonctionnalités. L’utilisation de clés API suggère une potentielle commercialisation future en tant que “Malware-as-a-Service”.

Vulnérabilités exploitées :

• Permissions d’installation de sources inconnues : Permet l’installation d’applications non vérifiées.
• Services d’accessibilité Android : Utilisés pour obtenir un contrôle total de l’appareil et contourner les protections.
• Absence de vigilance de l’utilisateur : L’attrait pour les applications IPTV gratuites ou alternatives amène les utilisateurs à télécharger des applications non officielles.

Recommandations :

• Télécharger les applications uniquement depuis les sources officielles : Éviter les magasins d’applications tiers et les liens directs.
• Vérifier les permissions demandées par les applications : Refuser les permissions suspectes ou non nécessaires.
• Utiliser un logiciel antivirus mobile fiable : Maintenir les définitions à jour.
• Se méfier des SMS et des liens suspects : Ne pas cliquer sur des liens provenant d’expéditeurs inconnus ou proposant des offres trop belles pour être vraies.
• Désactiver l’installation d’applications à partir de sources inconnues : Dans les paramètres de sécurité Android, restreindre cette option aux cas de nécessité absolue.

Source