Les chercheurs du VMX Lab de Verimatrix, l'un des premiers fournisseurs de cybersécurité à avoir détecté l'utilisation abusive des services d'accessibilité d'Android, détectent désormais assez régulièrement des variantes de ce type d'attaque. 

La solution XTD (Extended Threat Defense) de Verimatrix intègre la détection des abus des services d'accessibilité Android, ce qui permet à votre organisation d'exploiter la capacité de détection en tant qu'outil de prévention automatique basé sur le SIEM. Les développeurs devraient demander un chat avec un spécialiste de Verimatrix pour savoir à quel point le déploiement d'une solution XTD peut être simple et rapide pour leur équipe. En attendant, les utilisateurs d'applications ne devraient pas donner d'autorisations indues et n'utiliser que la boutique officielle.

Verimatrix a publié un article sur les attaques basées sur les STA au début de l'année, décrivant les éléments suivants GoatRAT et expliquant en détail comment l'usurpation d'écran est non seulement dangereuse, mais aussi en augmentation. La société a également publié un article informatif intitulé Screen Spoofing : Dangerous Mobile App Overlay Attacks On the Rise (Usurpation d'écran : des attaques dangereuses de superposition d'applications mobiles en hausse) qui explique en détail comment se déroulent les attaques par superposition d'écran et pourquoi elles constituent une telle menace.

VMX Labs a détecté un changement

Un cheval de Troie Android assez récent appelé GoldDigger a fait son apparition au Viêt Nam cet été et semble être l'un des derniers chevaux de Troie qui exploitent le service d'accessibilité d'Android, destiné à aider les utilisateurs handicapés à naviguer plus facilement sur leurs appareils. Les développeurs ne peuvent pas désactiver les services d'accessibilité.

Jusqu'à récemment, la plupart des logiciels malveillants visant les applications mobiles bancaires n'utilisaient que facultativement les services d'accessibilité comme déclencheur de l'attaque. Ils s'appuyaient sur des superpositions classiques pour mener l'attaque et voler les informations d'identification, etc. C'était la méthode préférée car elle fonctionnait bien pour les téléphones plus anciens et pour une gamme plus large de téléphones. Presque tous les principaux cadres d'attaque, y compris Cerberus, Hook et Hydra, utilisent cette approche classique.

Le récent cheval de Troie GoldDigger montre que les services d'accessibilité sont en train de changer. SYSTEMATIQUEMENT abusés pour utiliser des overlays et injecter des key strokers afin de voler des informations d'identification et de déclencher le transfert de fonds à l'attaquant qui abuse du système de transfert automatisé (ATS).

Le chemin sinueux de GoldDigger

Ce cheval de Troie, dont on pense qu'il est actif depuis le mois de juin de cette année, utilise ces outils dans la boîte à outils de l'attaquant (en plus de demander l'accès aux services d'accessibilité) pour tenter de voler des fonds par le biais de plus de 50 applications mobiles :

  • Les courriels d'hameçonnage constituent souvent la première étape, car ils tentent d'amener les utilisateurs vers des sites web où ils pourront télécharger et installer les applications qui serviront à l'attaque. 
  • Les sites web permettant de télécharger l'application "dropper" vont même jusqu'à usurper la page du Google Play Store elle-même ou à ressembler à des applications légitimes de gouvernements ou de compagnies d'énergie.
  • Une fois que l'utilisateur a téléchargé et installé l'application dropper d'apparence légitime, il est incité à donner à cette application des autorisations suffisantes pour lui permettre d'exercer un large contrôle sur les logiciels malveillants présents sur le téléphone de l'utilisateur.  
  • L'étape suivante consiste à voler les identifiants des applications bancaires et à abuser des services d'accessibilité.
  • Même les messages textuels sont capturés et envoyés à un serveur C&C pour contourner l'authentification multifactorielle, par exemple. Le contrôle à distance de l'appareil permet d'abuser des applications bancaires.
  • L'utilisation de l'outil légitime d'obscurcissement Virbox Protector rend plus difficile la détection et l'analyse du logiciel malveillant.
  • Le logiciel malveillant est également proposé en espagnol et en chinois, ce qui laisse présager une éventuelle expansion dans d'autres régions.


Au début du mois, il a également été rapporté que GoldDigger cible les portefeuilles électroniques et les portefeuilles cryptographiques en plus des applications mobiles bancaires plus traditionnelles, ce qui augmente encore ses chances de réussir à piller des comptes.