Remo est un cheval de Troie bancaire révélé pour la première fois il y a plus d'un an par des chercheurs de Cyble Research and Intelligence Labs. Il cible directement les applications bancaires mobiles et les portefeuilles de crypto-monnaies pour voler de l'argent à ses victimes.
VMX Labs a récemment détecté une nouvelle variante de Remo et a fait part de ses conclusions à Alibaba Cloud, où se trouvent les sites de distribution et l'infrastructure de commande et de contrôle (C2). Ensemble, nous avons réussi à perturber l'opération de fraude Remo.
Dans cet article, nous souhaitons présenter l'état actuel du cheval de Troie bancaire Remo Android par rapport aux premiers échantillons. premiers échantillons découverts il y a plus d'un an.
Distribution
Les sites de phishing sont toujours utilisés pour distribuer les échantillons du programme malveillant Remo, de sorte que VMX Labs peut suivre ses opérations de distribution. Ces sites présentent parfois le contenu dans une langue qui nous permet de prédire facilement l'orientation géographique de la campagne de lutte contre les logiciels malveillants.
Cependant, les sites de phishing étaient cette fois-ci en anglais, ce qui rend la région ciblée peu claire. Les domaines de distribution "e-ussecurity.cc" et "usaonlinesecurity.cc" laissent supposer que les États-Unis sont la région ciblée. Toutefois, la liste des cibles chargée à partir du serveur C2 a rapidement éliminé cette possibilité.
Les applications ciblées suggèrent fortement que les pays d'Asie du Sud-Est et l'Inde sont au cœur de cette campagne. Nous avons également trouvé du vietnamien dans la source HTML du site de distribution, ce qui correspond à la langue principale des utilisateurs de certaines applications ciblées.
Liste des cibles
La liste des applications ciblées montre que la campagne actuelle de Remo ABT est active en Inde et en Asie du Sud-Est, en particulier en Malaisie, en Indonésie et au Viêt Nam. Elle était auparavant active en Thaïlande, en Indonésie et au Viêt Nam.
Applications ciblées 2023 |
Applications ciblées 2024 |
|---|---|
| com.vnpay.bidv | com.mservice.momotransfer |
| vn.com.techcombank.bb.app | com.vnpay.SCB |
| com.VCB | com.vib.myvib2 |
| com.vietinbank.ipay | com.ocb.omniextra |
| com.vnpay.Agribank3g | ops.namabank.com.vn |
| mobile.acb.com.vn | com.sacombank.ewallet |
| com.vnpay.vpbankonline | vn.shb.mbanking |
| com.tpb.mb.gprsandroid | vn.com.techcombank.bb.app |
| src.com.sacombank | com.tpb.mb.gprsandroid |
| com.mbmobile | com.VCB |
| com.vnpay.hdbank | com.vietinbank.ipay |
| vn.com.msb.smartBanking | com.vnpay.vpbankonline |
| com.ocb.omniextra | xyz.be.cake |
| com.mservice.momotransfer | vn.com.vng.zalopay |
| com.bca | mobile.acb.com.vn |
| id.bmri.livin | com.vnpay.Agribank3g |
| src.com.bni | com.vnpay.bidv |
| com.jago.digitalBanking | com.mbmobile |
| com.bsm.activity2 | com.android.chrome |
| com.ocbcnisp.onemobileapp | src.com.sacombank |
| id.co.bri.brilinkmobile | ops.namabank.com.vn |
| id.com.uiux.mobile | com.UCMobile.intl |
| com.bca.mybca.omni.android | com.maybank2u.life |
| com.dbs.id.pt.digitalbank | my.com.hongleongconnect.mobileconnect |
| com.alloapp.yump | com.engage.pbb.pbengage2my.release |
| com.dbank.mobile | my.com.cimb.ngb |
| net.myinfosys.PermataMobileX | com.rhbgroup.rhbmobilebanking |
| id.co.bankbkemobile.digitalbank | com.ambank.ambankonline |
| com.bplus.vtpay | com.bsn.mybsn |
| vn.com.vng.zalopay | com.affin.AffinMobileBanking |
| wifi.gps.input | com.iexceed.CBS |
| th.or.gsb.coachaom | com.alliance.AOPMobileApp |
| ktbcs.netbank | com.uob.my.infinity |
| com.bbl.mobilebanking | com.sbi.lotusintouch |
| com.kasikorn.retail.mbanking.wap | com.sbi.SBIFreedomPlus |
| com.scb.phone | com.csam.icici.bank.imobile |
| com.krungsri.kma | com.snapwork.hdfc |
| com.TMBTOUCH.PRODUCTION | com.axis.mobile |
| com.kbzbank.kpaycustomer | com.bankofbaroda.mconnect |
| com.uob.mighty.app | com.msf.kbank.mobile |
| com.ktb.customer.qr | com.bca |
| im.token.app | com.dbank.mobile |
| vn.shb.mbanking | com.panin.mobilepanin |
| com.bitpie | id.co.cimbniaga.mobile.android |
| io.metamask | id.co.bri.brilinkmobile |
| com.binance.dev | id.bmri.livin |
| pro.huobi | id.co.bankbkemobile.digitalbank |
| com.bybit.app | src.com.bni |
| com.okinc.okex.gp | com.dimasdev.btnppid_v2 |
| vip.mytokenpocket | com.bnc.finance |
| app.vitien.vitien | com.bsm.activity2 |
| id.co.bri.brimo | |
| co.id.bankjatim.prioritashaihaiproduction | |
| com.dbs.sg.dbsmbanking | |
| id.com.uiux.mobile | |
| net.myinfosys.PermataMobileX | |
| com.btpn.dc | |
| com.muamalatdin | |
| com.defi.wallet | |
| com.wallet.crypto.trustapp | |
| org.toshi | |
| net.bitstamp.app |
Tableau 1 : Listes des applications ciblées (noms des paquets) en 2023 vs 2024
Cette comparaison reflète la nature dynamique du paysage des menaces mobiles :
- Augmentation de 24 % du nombre total d'applications ciblées.
- Seules 55% des applications ciblées en 2023 restent dans la liste des applications ciblées de Remo en 2024.
- Expansion vers l'Inde, la Malaisie et éventuellement Singapour, tout en se retirant de la Thaïlande.
La forte hausse du cours du bitcoin a attiré les cybercriminels à l'origine de l'opération Remo ABT
Nous avons également détecté un intérêt accru des adversaires pour les applications de portefeuilles de crypto-monnaie au cours de cette enquête. Le serveur C2 de Remo a ajouté les quatre applications suivantes à sa liste de cibles lorsque le cours du bitcoin a franchi la barre des 100 000 dollars.
Avant la mise à jour, la liste des cibles n'était pas particulièrement peuplée d'applications de portefeuilles de crypto-monnaies. L'augmentation rapide du prix du bitcoin semble avoir attiré les cybercriminels.
Application mobile |
Nom du paquet |
|---|---|
| Crypto.com Onchain | com.defi.wallet |
| Trust : Portefeuille Crypto & Bitcoin | com.wallet.crypto.trustapp |
| Portefeuille Coinbase : NFTs & Crypto | org.toshi |
| Bitstamp : Acheter et vendre des crypto-monnaies | net.bitstamp.app |
Tableau 2 : applications de portefeuilles de crypto-monnaies ajoutées à la liste cible
Analyse technique
Les classes Remo qui mettent en œuvre les fonctionnalités malveillantes sont pour la plupart renommées et semblent différentes des premiers échantillons détectés il y a plus d'un an. Cependant, l'auteur de la menace a omis quelques indicateurs qui nous ont permis de détecter la nouvelle variante à l'aide d'une simple analyse statique.
Comme beaucoup d'autres chevaux de Troie bancaires, Remo abuse du service d'accessibilité d'Android pour atteindre les objectifs de l'adversaire. L'une des améliorations critiques observées dans les échantillons récents est l'usurpation de l'identité d'une application légitime, AnyDesk plugin ad1qui compte plus de 10 millions de téléchargements dans le Google Play Store et qui exploite le service d'accessibilité. Il s'agit sans aucun doute d'une tentative d'échapper aux algorithmes de détection qui s'appuient uniquement sur les noms des services d'accessibilité.
Une modification importante de la dernière variante de Remo est la suppression du module SMS malveillant qui permet d'envoyer des messages SMS à partir de l'appareil infecté. L'autorisation obtenue pour cette opération déclenche généralement une enquête plus approfondie pour rechercher un comportement malveillant.
Une autre différence intéressante est que la nouvelle variante signale au serveur C2 non seulement les applications ciblées, mais aussi certaines applications système installées sur l'appareil de la victime. Les informations exfiltrées par application restent inchangées, à savoir le paquet, le nom et la version. Les applications système signalées dans notre configuration de test sont énumérées ci-dessous.
Paquet |
Nom |
|---|---|
| com.google.android.youtube | YouTube |
| com.google.android.googlequicksearchbox | |
| com.google.android.apps.messaging | Messages |
| com.google.android.apps.safetyhub | Sécurité personnelle |
| com.android.vending | Google Play Store |
| com.android.stk | Boîte à outils SIM |
| com.google.android.deskclock | Horloge |
| com.google.android.gm | Gmail |
| com.google.android.dialer | Téléphone |
| com.google.audio.hearing.visualization.accessibility.scribe | Transcription en direct et notifications sonores |
| com.google.android.apps.nbu.files | Fichiers par Google |
| com.google.android.accessibility.soundamplifier | Amplificateur de son |
| com.google.android.apps.docs | Conduire |
| com.google.android.apps.maps | Cartes |
| com.google.android.apps.tips | Conseils sur les pixels |
| com.google.android.contacts | Contacts |
| com.google.android.calculator | Calculatrice |
| com.google.android.videos | Google TV |
| com.google.android.apps.photos | Photos |
| com.google.android.calendar | Calendrier |
| com.google.android.accessibility.switchaccess | Accès au commutateur |
| com.android.settings | Paramètres |
| com.google.android.apps.healthdata | Connexion santé |
| com.google.android.apps.wearables.maestro.companion | Pixel Buds |
| com.android.angle | Angle du système Android |
| com.google.android.apps.recorder | Enregistreur |
| com.google.android.apps.work.clouddpc | Politique en matière de dispositifs |
| com.google.android.apps.youtube.music | YouTube Music |
| com.android.traceur | Traçage des systèmes |
| com.google.android.GoogleCamera | Appareil photo |
Tableau 3 : Applications du système signalées au C2
Autre amélioration : l'application malveillante ne demande plus automatiquement l'activation de l'autorisation d'accès. Au lieu de cela, elle charge une page de connexion à partir d'une source distante et met en œuvre un mécanisme d'authentification, ce qui constitue une fonction anti-analyse. Nous pensons que les criminels fournissent les informations d'identification à leurs victimes.
Remo peut toujours voler les données du presse-papiers lorsque les victimes lancent l'application, et il n'a pas besoin d'autorisations supplémentaires pour accéder au presse-papiers. En raison de la longueur des adresses de portefeuilles de crypto-monnaies et des phrases de récupération, les utilisateurs d'applications de portefeuilles de crypto-monnaies utilisent fréquemment le presse-papiers, et les trojans bancaires ciblant ces applications accordent une attention particulière à ces données.
Les utilisateurs d'Android 12 et des versions ultérieures sont alertés par un message de toast du système. Ils ne doivent pas ignorer ce signal d'alarme.
Le message de rapport périodique envoyé au serveur C2 se compose de nouveaux champs de données qui nous informent sur les caractéristiques récemment développées du cheval de Troie :
- Latitude & Longitude: Remo a commencé à suivre l'emplacement de l'appareil.
- isDeviceAdminEnable: Remo a commencé à abuser de la puissante API d'administration des appareils, une technique connue et fréquemment utilisée par les chevaux de Troie bancaires.
- gains flottants: Informations sur les fenêtres flottantes.
- appStatusData: Le champ d'état en chinois indique qu'un acteur de menace parlant chinois est derrière Remo. La valeur est "Connected\n" dans la figure 7 ci-dessous.
- isHighPowerMode: Probablement ajouté parce que le mode d'économie d'énergie limite l'activité en arrière-plan.
- screenPushMode: Le plugin VideoRoom du serveur média Janus WebRTC est utilisé pour le partage d'écran en temps réel. Cela implique qu'il existe d'autres moyens pris en charge.
- Numéro de l'appareil: Identifiant aléatoire de six caractères.
- isIgnoringBatteryOptimizations: L'optimisation de la batterie peut empêcher les logiciels malveillants de fonctionner en permanence en arrière-plan. Les applications doivent demander explicitement l'autorisation à l'utilisateur. Remo a commencé à signaler si la permission a été accordée ou non.
Il est également important de mentionner que la nouvelle variante Remo ABT a été mise à jour pour cibler les appareils Android 14, alors que les échantillons précédents prenaient en charge jusqu'à Android 13.
Conclusion
Le Remo ABT a considérablement évolué en plus d'un an. Nous avons constaté qu'il y a quelques facteurs sous-jacents à cette évolution.
- Evasion de la défense. Les campagnes de fraude et, par conséquent, l'augmentation du nombre de victimes au fil du temps suscitent l'intérêt des défenseurs. Lorsque cet intérêt est combiné à des renseignements complets sur les menaces, les logiciels malveillants commencent à être détectés avec précision et à faire l'objet de mesures correctives, ce qui oblige les acteurs de la menace à mettre au point de nouveaux moyens d'échapper à la détection.
- Techniques nouvelles ou améliorées. Les acteurs de la menace acquièrent également une expérience pratique et des connaissances avec le temps. Ils essaient de mettre en œuvre de nouvelles fonctionnalités pour améliorer leur jeu et résoudre les problèmes rencontrés sur le terrain.
- Mises à jour du système d'exploitation Android. Les mises à jour continues du système d'exploitation et l'adoption croissante de ces mises à jour conduisent finalement les acteurs de la menace à adapter les logiciels malveillants pour mieux couvrir les cibles.
- Tendances. L'augmentation soudaine du prix du bitcoin a attiré l'attention de tous, y compris des adversaires.
Comme Remo, le paysage des menaces mobiles est très dynamique et réagit rapidement aux protections renforcées sous la forme de nouvelles variantes d'une famille de logiciels malveillants connue. La surveillance continue des appareils mobiles et des applications est essentielle pour ne pas se laisser distancer par les cybercriminels.
Liste des indicateurs de compromis (IOC)
Indicateur |
Type |
Description |
|---|---|---|
| usaonlinesecurity.cc | domaine | Site de distribution |
| e-ussecurity.cc | domaine | Site de distribution |
| usw4s.top | domaine | C2 |
| nhlkasjdvncea.top | domaine | C2 |
| 83bf604ed920231a1af209b5d10fa752fe07359303f35d40c039b73b268f8fe5 | SHA256 | Mobile Security.apk |
| 49d24a77a8b6846ba81907e0f773c232f284e39f10161ffee917e6e0664a7d0a | SHA256 | Mobile Security.apk |
| f75e26936a8f3b55065cdad25ee3e37bdf94054bc5e242dc72ebb073e4f73c3d | SHA256 | gjf-p3.apk (ancien échantillon de Remo) |
Le typhon salé met en évidence les lacunes critiques de la sécurité mobile : La CISA réagit