VMX Labs a détecté 5 panneaux de connexion de serveurs de commande et de contrôle (C2) actifs en Pologne, en Italie et au Brésil, spécialisés dans les attaques par superposition (manuelles et automatiques) contre les utilisateurs d'Android, en particulier au Brésil et en Italie.

Cette (prétendu) nouveau cheval de Troie bancaire Android (ABT) est commercialisé sous le nom de AzraelBot.

Figure 1 : Publicité dans un forum de piratage informatique
Figure 2 : Écran de connexion du Panel

L'un des serveurs que nous avons trouvés utilise les injections fuyantes de la fonction Hook ABT. Cela était prévu et, malheureusement, a abaissé la barrière d'entrée sur la scène des logiciels malveillants bancaires Android.

Figure 3 : Liste des injections prises en charge par pays

Les attaques manuelles par superposition visent principalement l'Italie et le Brésil. Les injections génériques utilisées pour l'Italie sont les suivantes :

Figure 4 : injection d'une empreinte digitale et sa traduction automatique
Figure 5 : Injection de chargement et sa traduction automatique

Les attaques par superposition manuelle contre les banques brésiliennes sont plus sophistiquées et personnalisées.

Figure 6 : Injects utilisés pour des attaques manuelles ciblées par superposition

Liste des CIO C2
200.98.200.130 Adresse IP du panneau
200.98.200.107 Adresse IP du panneau
179.43.148.2 Adresse IP du panneau
185.241.208.123 Adresse IP du panneau
45.83.31.225 Adresse IP du panneau
azzzzzzzz000000bro.com Domaine C2
googleoverdroid.com Domaine C2

Note : Nous remercions tout particulièrement le chercheur en sécuritédont les résultats antérieurs ont grandement contribué à cette recherche en cours.

Comment les attaques par superposition d'écran mettent en péril les applications bancaires mobiles