Accueil > Nouvelles Cyber > Attention: Bizarro Banking Trojan peut voler les informations de connexion pour 70 Banques
CYBER NOUVELLES

Il faut se méfier: Bizarro Banking Trojan peut voler les informations de connexion pour 70 Banques

bizarro-banking-trojan-sensorstechforum

Des chercheurs en cybersécurité viennent de révéler un nouveau cheval de Troie bancaire dangereux originaire du Brésil et ciblant les utilisateurs d'Android en Espagne, le Portugal, France, et en Italie.

Appelé bizarre, le cheval de Troie tente de voler les informations de connexion des clients de 70 banques. «Sur les traces de Tetrade, Bizarro utilise des affiliés ou recrute des mules pour opérationnaliser ses attaques, encaisser ou simplement aider aux transferts,”SecureList de Kaspersky a partagé dans son rapport.




Qu'est-ce que Bizarro Banking Trojan?

Les opérateurs de Bizarro utilisent des affiliés ou recrutent des mules pour rendre leurs attaques opérationnelles, encaissant ou aidant ainsi les transferts. Le cheval de Troie utilise divers composants, techniques d'obscurcissement, et est distribué via des tactiques d'ingénierie sociale intelligentes.

Selon les conclusions de Kaspersky, Bizarro a des modules x64 et est capable d'inciter les utilisateurs à partager leurs codes 2FA dans de fausses fenêtres pop-up. Le cheval de Troie utilise d'autres astuces pour persuader les victimes de télécharger une application pour smartphone.

«Il peut également utiliser l'ingénierie sociale pour convaincre les victimes de télécharger une application pour smartphone. Le groupe derrière Bizzaro utilise des serveurs hébergés sur Azure et Amazon (AWS) et des serveurs WordPress compromis pour stocker le malware et collecter des données de télémétrie," le rapport révélé.

Que se passe-t-il une fois que Bizarro Trojan est installé sur un appareil?

Une fois installé, le cheval de Troie est conçu pour tuer tous les processus de navigateur en cours et mettre fin aux sessions existantes avec les sites bancaires en ligne. En faisant cela, le cheval de Troie rassure que lorsqu'un utilisateur ouvre une session de banque mobile, ils devront se reconnecter, permettre au logiciel malveillant de voler les informations de connexion. En outre, Bizarro désactive également la fonction de saisie semi-automatique dans le navigateur et utilise de fausses fenêtres contextuelles pour récolter les codes 2FA. Pour couronner le tout, le malware dispose d'un module de capture d'écran.

[Bizarre] charge la bibliothèque magnification.dll et obtient l'adresse de la fonction API MagSetImageScalingCallback obsolète. Avec son aide, le cheval de Troie peut capturer l'écran d'un utilisateur et surveiller en permanence le presse-papiers du système, recherche d'une adresse de portefeuille Bitcoin. S'il en trouve un, il est remplacé par un portefeuille appartenant aux développeurs de logiciels malveillants, Kaspersky a expliqué.

Cependant, le composant le plus dangereux du cheval de Troie Bizarro est son principal module de porte dérobée, capable d'effectuer plus de 100 commandes.




Comment fonctionne le composant Backdoor de Bizarro?

Tout d'abord, la porte dérobée ne démarre que lorsque le cheval de Troie détecte une connexion à l'un des systèmes bancaires en ligne codés en dur. Une fois la connexion établie, le cheval de Troie peut exécuter n'importe laquelle de ses commandes.

Certaines des commandes principales de Bizarro sont les suivantes:

  • Commandes permettant aux opérateurs du serveur de commande et de contrôle d'obtenir des données sur la victime et de gérer l'état de la connexion;
  • Commandes permettant aux attaquants de contrôler les fichiers situés sur le disque dur de la victime;
  • Commandes permettant aux attaquants de contrôler la souris et le clavier de l’utilisateur;
  • Commandes permettant aux attaquants de contrôler l'opération de la porte dérobée, fermer, redémarrer ou détruire le système d'exploitation et limiter les fonctionnalités de Windows;
  • Commandes qui enregistrent les frappes;
  • Commandes qui exécutent des attaques d'ingénierie sociale.

En conclusion: Opération cheval de Troie de Bizarro

Les chercheurs de Kaspersky ont également déclaré avoir observé un certain nombre de chevaux de Troie bancaires d'Amérique du Sud., qui étendent leurs opérations principalement aux pays européens. Les opérateurs de Bizarro adoptent rapidement diverses astuces techniques avancées pour compliquer l'analyse et la détection des logiciels malveillants. Ajout de tactiques d'ingénierie sociale intelligemment conçues, le cheval de Troie semble être tout à fait capable de convaincre les victimes de fournir volontairement leurs coordonnées financières personnelles.

Quels autres logiciels malveillants mettent en danger les utilisateurs d'Android?

Certains des derniers exemples de logiciels malveillants du paysage des menaces Android incluent le Logiciel espion Flubot, un malware vermifuge déguisé en une application Netflix appelée FlixOnline, et le cheval de Troie bancaire Ghimob.

Le banquier Ghimob, en particulier, semble avoir été développé par les mêmes cybercriminels qui ont codé le malware Astaroth Windows. Il est à noter que les pirates n'ont pas utilisé le Google Play Store officiel comme canal de distribution. A cet effet,, les pirates ont déployé des applications Android malveillantes sur des sites et des serveurs précédemment déployés par Astaroth.

Enfin, fin décembre 2020, les chercheurs en sécurité ont signalé un nouveau plateforme d'obscurcissement en tant que service pour Android, permettre aux cybercriminels d'améliorer leurs mécanismes de contournement de la détection. Longue histoire courte, il s'avère que les pirates ont réussi à développer une plate-forme de service entièrement automatisée qui protège les malwares mobiles Android Packet Kits (APK) de la détection AV. Le service est disponible sous forme de paiement unique ou d'abonnement mensuel récurrent. Il est traduit en anglais et en russe, faisant allusion à son origine.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...