MalRhino Android Banking Trojan actif en Amérique latine
Le cheval de Troie bancaire Android MalRhino est un projet qui partage certaines similitudes avec PixStealer. Cependant, il cible un plus large éventail de cibles et contient un plus grand nombre de fonctionnalités. Alors que les deux menaces sont axées sur le vol d'argent, MalRhino est certainement la variante la plus fonctionnelle et la plus riche en fonctionnalités. Cependant, cela le rend également plus susceptible d'être facilement détecté par les services anti-malware.
L'une des versions du cheval de Troie bancaire Android MalRhino s'attaque à l'Inter Bank brésilienne. Il usurpe l'identité d'une application légitime que les clients de cette banque utilisent, iToken. La fausse version était hébergée sur le Google Play Store, ainsi que sur d'autres magasins d'applications. Les utilisateurs étaient généralement dirigés vers sa page de téléchargement par le biais de phishing, de fausses publicités et d'autres stratégies douteuses. Une fois installée, la fausse application iToken invite sa victime potentielle à lui accorder l'accès aux services d'accessibilité d'Android.
Les attaquants de MalRhino s'en prennent aux clients de six banques
Contrairement au mode hors ligne de PixStealer, le cheval de Troie bancaire Android MalRhino communique avec un serveur de contrôle à distance. Au lancement, il envoie des informations sur l'appareil de la victime, puis recherche les données liées à plusieurs applications bancaires populaires au Brésil :
- Interbancaire
- Nubank
- Prochain
- Santander
- Banco Original
- UOL PagBank
L'implant MalRhino continue de fonctionner en arrière-plan et attend que la victime charge l'une des applications bancaires prises en charge. Lorsque cela se produit, le cheval de Troie exécute une attaque superposée, qui peut être affinée par les attaquants. Cela leur permet d'effectuer des transferts frauduleux avec l'aide de la victime, ou de demander toutes sortes d'informations telles que des identifiants, 2FA, codes PIN, etc.
Le même gang est susceptible d'être derrière PixStealer et le cheval de Troie MalRhino. Jusqu'à présent, leurs activités sont limitées au Brésil, mais elles pourraient cibler d'autres régions d'Amérique latine dans un avenir proche. En règle générale, ces chevaux de Troie bancaires latino-américains quittent rarement la région, mais il y a toujours une chance que cela se produise. Les utilisateurs d'Android peuvent protéger leurs appareils contre ces familles de logiciels malveillants bancaires en utilisant des applications antivirus Android haut de gamme.