Des chercheurs ont détecté un nouveau cheval de Troie bancaire Android appelé BlankBot le 24 juillet 2024. Il s'agit de l'une des menaces les plus récentes, qui témoigne de la prévalence croissante de l'utilisation d'attaques par recouvrement d'écran.

Dans ce cas, le logiciel malveillant poursuit les utilisateurs turcs dans le but de voler des informations financières et semble être "toujours en cours de développement, comme en témoignent les multiples variantes de code observées dans différentes applications", selon un analyste d'Intel 471. avis.

Après avoir incité la victime à lui accorder des autorisations pour les services d'accessibilité, BlankBot abuse des services d'accessibilité d'Android pour prendre le contrôle total des appareils contaminés, en réalisant des captures d'écran, en saisissant des frappes clavier et en permettant aux criminels d'utiliser des superpositions personnalisées, en ciblant des applications légales arbitraires, afin d'inciter les utilisateurs à saisir des informations personnelles.

"BlankBot dispose d'une série de capacités malveillantes, notamment des injections personnalisables, l'enregistrement de frappe et d'écran, et il communique avec un serveur de contrôle par le biais d'une connexion WebSocket", précise l'avis. Les développeurs de BlankBot utilisent des bibliothèques librement accessibles pour imiter des pages de compte et créer d'autres superpositions.

"Les développeurs semblent être des développeurs d'applications Android expérimentés, et ils démontrent également une compréhension de l'activité ATO (account takeover)", expliquent les analystes. "Ces bibliothèques permettent aux opérateurs de logiciels malveillants d'imiter plus fidèlement les applications financières réelles et de créer une page d'hameçonnage transparente et d'apparence authentique, ce qui rend plus probable le fait qu'un utilisateur suive toutes les étapes et donne ses informations sensibles.

BlankBot n'est que l'un des derniers à employer la tactique insidieuse de la superposition d'écran, puisqu'il y a quelques mois, VMX Labs a évoqué le cas du AzraelBot qui ciblait les utilisateurs italiens et brésiliens. Nous avons également mis en évidence le cheval de Troie HOOK qui s'appuie sur des attaques complexes par superposition d'écran pour s'imposer. Il existe, bien entendu, de nombreuses autres utilisations de ce type, notamment le logiciel espion Mandrake qui a fini par apparaître sur Google Play. a fini par apparaître sur Google Play.

Il ne fait aucun doute que les cybercriminels sont de plus en plus nombreux à comprendre l'intérêt de prendre le temps de mettre en place des superpositions dans le cadre de leurs attaques.

En savoir plus sur BlankBot

Comme le cheval de Troie Android de Mandrake, BlankBot utilise un programme d'installation de paquets basé sur une session pour contourner les restrictions introduites dans Android 13 afin d'empêcher les applications chargées latéralement d'exiger des autorisations dangereuses. "Le bot demande à la victime d'autoriser l'installation d'applications provenant de sources tierces, puis il récupère le fichier APK (Android Package Kit) stocké dans le répertoire des actifs de l'application sans aucun chiffrement et procède au processus d'installation du paquet", poursuit l'avis.

BlankBot peut ensuite enregistrer l'écran au moyen de l'API MediaProjection, en sauvegardant les enregistrements sous forme d'images JPEG et en les envoyant à un serveur distant. En utilisant une méthode peu commune, BlankBot formule également son propre clavier pour capturer sans effort les frappes de l'utilisateur.

"BlankBot utilise également deux bibliothèques open source, CompactCreditInput et Pattern Locker View, pour créer des écrans qui imitent les pages de saisie de données pour divers identifiants sensibles, tels que les noms d'utilisateur, les mots de passe, les combinaisons de codes PIN et les informations de carte de crédit", ont déclaré les analystes. 

Le logiciel malveillant est également capable de s'introduire dans les messages SMS pour s'emparer de données telles que les listes de contacts et les applications installées. Il crée une surcouche personnalisée pour demander à la victime des informations, notamment des données d'identification financière.

"Les acteurs de la menace sont en mesure de réaliser une fraude sur l'appareil (ODF) en se réveillant et en contrôlant l'appareil à distance avec différents types de gestes pris en charge, tels que des clics ou des glissements de doigt", précise l'avis. "Nous sommes presque certains que ce logiciel malveillant n'a pas été écrit à des fins d'espionnage, car il possède toutes les caractéristiques nécessaires à la prise de contrôle d'un compte à des fins financières, telles que des superpositions pour les applications financières les plus répandues.

Ne pas se cabrer sur Google Play

Un porte-parole de Google a déclaré à The Hacker News que l'entreprise n'a trouvé aucune application contenant le logiciel malveillant sur le Google Play Store.

"Les utilisateurs d'Android sont automatiquement protégés contre les versions connues de ces logiciels malveillants par Google Play Protect, qui est activé par défaut sur les appareils Android dotés des services Google Play", a déclaré le titan de l'industrie. "Google Play Protect avertit les utilisateurs et bloque les applications qui contiennent ces logiciels malveillants, même si ces applications proviennent de sources autres que Play.

Verimatrix est bien sûr d'accord pour dire que les applications ne doivent être installées qu'à partir de sources fiables, mais il convient également de rappeler que les magasins d'applications fiables peuvent contenir des logiciels malveillants, et c'est souvent le cas. 

Indépendamment de la source, les logiciels malveillants issus du téléchargement latéral à haut risque ou des boutiques d'applications légales sont non seulement présents, mais en augmentation. L'utilisation abusive de l'API d'accessibilité d'Android est une tendance très courante et constamment renouvelée dans l'industrie des logiciels malveillants criminels.