Le nombre d'échantillons de logiciels malveillants voleurs de SMS détectés en Inde a considérablement augmenté. Les acteurs de la menace abusent des principales marques bancaires du pays pour inciter les utilisateurs des banques à installer des logiciels malveillants.
Une campagne active d'escroquerie découverte par VMX Labs s'appuie simplement sur des thèmes liés aux cartes de crédit : nouvelles demandes de cartes de crédit, augmentations de limites et services tels que l'échange de points de fidélité, la demande de blocage de carte, l'annulation de la protection de la carte et la séparation des cartes fusionnées. Il distribue des applications malveillantes spécialement conçues. Ces applications volent les mots de passe à usage unique (OTP) envoyés au téléphone de la victime par SMS.
L'application ou le site de phishing vise à tromper les victimes en les incitant à saisir leurs informations personnelles et les détails de leur carte de crédit dans de faux formulaires déguisés en formulaires légitimes. Il est très probable que ces formulaires soient intégrés à l'application dans le cas où le site web de phishing est cloné à partir des ressources du site web original de la banque. Dans le cas contraire, ils sont implémentés sur le site de phishing.
Pour éviter d'être détectés, les sites de phishing utilisés dans cette campagne sont redirigés vers des sites bancaires légitimes, à moins qu'ils ne soient consultés à partir d'un téléphone portable.
Liste du CIO
| Indicateur | Type |
|---|---|
| axisapply.creditcard-app.com | Domaine Dropper et C2 |
| axisapply.cards-application.com | Domaine Dropper et C2 |
| axis-apply-now.creditcard-app.com | Domaine Dropper et C2 |
| axis-apply-now.cards-application.com | Domaine Dropper et C2 |
| auapply.creditcard-app.com | Domaine Dropper et C2 |
| aunewapply.creditcard-app.com | Domaine Dropper et C2 |
| au.creditcard-app.com | Domaine Dropper et C2 |
| au-applynow-onboard.creditcard-app.com | Domaine Dropper et C2 |
| au-applynow-onboard.cards-application.com | Domaine Dropper et C2 |
| au-apply.creditcard-app.com | Domaine Dropper et C2 |
| au-apply-now.creditcard-app.com | Domaine Dropper et C2 |
| au-apply-onboard.creditcard-app.com | Domaine Dropper et C2 |
| au-now.creditcard-app.com | Domaine Dropper et C2 |
| au-now.cards-application.com | Domaine Dropper et C2 |
| au-now-apply.cards-application.com | Domaine Dropper et C2 |
| au-onboarding.creditcard-app.com | Domaine Dropper et C2 |
| au-onboarding.cards-application.com | Domaine Dropper et C2 |
| au-onboard-now.creditcard-app.com | Domaine Dropper et C2 |
| au-onboard-now.cards-application.com | Domaine Dropper et C2 |
| axisapply.creditcard-app.com | Domaine Dropper et C2 |
| axisapply.cards-application.com | Domaine Dropper et C2 |
| axis-apply-now.creditcard-app.com | Domaine Dropper et C2 |
| axis-apply-now.cards-application.com | Domaine Dropper et C2 |
| axis-services.in | Domaine Dropper et C2 |
| indus.creditcard-app.com | Domaine Dropper et C2 |
| indus-service.cards-application.com | Domaine Dropper et C2 |
| indus-service.creditcard-app.com | Domaine Dropper et C2 |
| indus-fast.cards-application.com | Domaine Dropper et C2 |
| indus-fast.creditcard-app.com | Domaine Dropper et C2 |
| indus-apply.creditcard-app.com | Domaine Dropper et C2 |
| indus-service.in | Domaine Dropper et C2 |
| rbl-limit-increase.creditcard-app.com | Domaine Dropper et C2 |
| rbl-limit-increase.cards-application.com | Domaine Dropper et C2 |
| 8640b1565f6dd0147d4b9f219765d5a814eb3fa7c470f9baf49e330da71b9d76 | SHA256 de l'application malveillante |
| d8b1f2c08c96935f61f3cddbfc723b982a961a38ab07e82272d375ab128f635d | SHA256 de l'application malveillante |
| f2160b0cc1d49f7ea0aaf346c071811c19c139d129dd1b3d3f0f586074dffe03 | SHA256 de l'application malveillante |
| 7e26eddb09fd8975283140b9edf6aabc5590db5274ff2f1e4af366f3a9b97273 | SHA256 de l'application malveillante |
| e154b0a0369355cc8b95ae1e8d8e7b20a6207b07ca12e6ae7c22a905472e5f28 | SHA256 de l'application malveillante |
| d0ec8749720b38b006ab458b063ad9259f53cc8a3f65228a8a844b3a532f139d | SHA256 de l'application malveillante |
| 399bde41f7bbac87f4825ed211a5baf4ed6192ff18081a873b190fb0cb63b200 | SHA256 de l'application malveillante |
| 73e92645aaf080f568ca5de84d00ec70be888a00f5bf27492fe7ba53900e126f | SHA256 de l'application malveillante |
| 1c6c7b4ff88b6cf462c2a9c1bb6dc50611bccf5593b4499fdb3405677525b8e0 | SHA256 de l'application malveillante |
| 9f2def6b0f95f820499f9a5a43ff5a9d5522e4a6d5e7d0a719dcfb916947721a | SHA256 de l'application malveillante |
| cc285c24651c224700a1f00b28e6d2856e701f26f99ef5baabc1d04be2c38d95 | SHA256 de l'application malveillante |
| 19deabf1c52e8f907dc3eb098a3dbfa5a8db143363c1bee52b8efe5974543c36 | SHA256 de l'application malveillante |
| a8ae565373f63a41b3770231d4119bb697de969b4cdfab7fa1d58196066e3d36 | SHA256 de l'application malveillante |
| 58f0052f045ce52be336bb119fff56a5445010fb45de6ed47253c8579abe52d5 | SHA256 de l'application malveillante |
| 8c1c962811154cf5ae7cd7c9d763c41c036652158d87bb3992661a31d1fbb1c8 | SHA256 de l'application malveillante |
| 4069cc81e22576f46bcd1f8dc95b254bfd6f51d9bef67936eb44a5c8af8aa358 | SHA256 de l'application malveillante |
| 2bae0588f5c5e427190cab5155dd00a78d348f9e6aea7926298a48d219e20cea | SHA256 de l'application malveillante |
| b70b8cc26b2c04379381067d7417879f49f118a17a7448b208d5d78a7e56f7b7 | SHA256 de l'application malveillante |
| 32b974f52e907998d6dbfba793966b531f880d8ebc27ffc18f47a2b7a099a097 | SHA256 de l'application malveillante |
Le typhon salé met en évidence les lacunes critiques de la sécurité mobile : La CISA réagit