Les utilisateurs finlandais d'Android sont mis en garde contre les tactiques trompeuses des marques d'antivirus utilisées dans les escroqueries bancaires. Selon un récent avertissement du Centre national de cybersécurité finlandais, des cybercriminels incitent les utilisateurs à télécharger une fausse application antivirus McAfee. Malheureusement, cette application est en fait un trojan nommé Brunhilda, qui fait partie de la famille des trojans bancaires Android Vultur (ABT). Cette escroquerie a déjà entraîné d'importantes pertes financières, une victime ayant déclaré avoir perdu 95 000 euros. Les recherches menées par VMX Labs ont révélé que d'autres marques d'antivirus sont également utilisées à mauvais escient, et qu'elles pourraient cibler les locuteurs finlandais.

Les deux échantillons que nous avons ne ressemblent pas aux droppers listés par Fox-IT, mais nous avons réussi à obtenir une capture d'écran d'urlscan.io montrant que l'un de ces échantillons pourrait être hébergé dans l'une des URL de distribution de droppers ci-dessous le 29 avril. En outre, notre analyse des domaines nouvellement enregistrés indique que "mcafee[.]786791[.]com" a été résolu à la même adresse IP malveillante. Il s'agit du modèle d'URL de distribution du Vultur ABT mentionné dans l'article de Fox-IT.

Le dernier échantillon que nous avons obtenu (M-VIP.Protect.apk) est un dropper Brunhilda. Il est confirmé par la règle YARA publiée dans l'article de Fox-IT.

Applications Android malveillantes

Nom de fichier SHA-256
F-Secure_Protect.apk b4230592c46b7d87a63f25c6f88dcc4b271636a55febe388e0077c89128b0158
McAfee_Security.apk ef04b246dc6c3ba619994cdbbaf010833d7164ef98d3ef04696223a132b793da
M-VIP.Protect.apk de401b70d2d7f8090c0ed48ca310647246d4956dfd21abb633d14ad910c7566f

URL de distribution du dropper

  • protect[.]641869[.]com
  • protect[.]918357[.]com
  • protect[.]065481[.]com
  • protect[.]864659[.]com
  • suojaa[.]354269[.]com (suojaa signifie protéger en finnois)
  • suojaa[.]065481[.]com (suojaa signifie protéger en finnois)
  • m-vip[.]065481[.]com
  • protect[.]354269[.]com (ajouté le 7 juillet 2024)

Serveurs C2

  • brustworth[.]online
  • gultopenfire[.]online

Note : Nous remercions tout particulièrement la MalwareHunterTeam et Fox-IT, dont les résultats antérieurs ont grandement contribué à cette recherche en cours.