CYFIRMA a identifié une campagne de malware bancaire Android ciblant les utilisateurs en Inde. Ce malware utilise une architecture de dropper en deux étapes pour voler des identifiants, intercepter des SMS et effectuer des transactions financières non autorisées. Il utilise Firebase pour les opérations de command-and-control et exploite de nombreuses permissions Android pour maintenir sa persistance et échapper à la détection.

Le malware est composé d’un dropper (SHA256: ee8e4415eb568a88c3db36098b7ae8019f4efe565eb8abd2e7ebba1b9fb1347d) et d’une charge utile principale (SHA256: 131d6ee4484ff3a38425e4bc5d6bd361dfb818fe2f460bf64c2e9ac956cfb13d) qui exploite des permissions Android telles que REQUEST_INSTALL_PACKAGES, READ_SMS et SEND_SMS. Il utilise Firebase Realtime Database pour la communication C2, met en œuvre des pages de phishing imitant des interfaces bancaires légitimes, et emploie des techniques de furtivité comme la dissimulation d’activités de lancement.

Les capacités clés incluent l’interception de SMS via le traitement PDU, l’exécution de codes USSD pour le renvoi d’appel (21number#), la persistance automatisée via des récepteurs de fin de démarrage, et la collecte d’identifiants via de faux formulaires bancaires avec validation d’entrée.

Les IOCs incluent les hachages SHA256 mentionnés pour le dropper et la charge utile principale. Les TTPs comprennent l’utilisation de Firebase pour C2, l’exploitation des permissions Android, et la mise en œuvre de techniques de phishing et de furtivité.

Cet article est une analyse de menace détaillant les méthodes et l’impact potentiel de cette campagne de malware bancaire ciblant spécifiquement les utilisateurs indiens.

🧠 TTPs et IOCs détectés

TTPs

Utilisation de Firebase pour C2, Exploitation des permissions Android (REQUEST_INSTALL_PACKAGES, READ_SMS, SEND_SMS), Techniques de phishing, Techniques de furtivité, Architecture de dropper en deux étapes, Interception de SMS, Exécution de codes USSD, Persistance via récepteurs de fin de démarrage, Collecte d’identifiants via faux formulaires bancaires

IOCs

SHA256 du dropper: ee8e4415eb568a88c3db36098b7ae8019f4efe565eb8abd2e7ebba1b9fb1347d, SHA256 de la charge utile principale: 131d6ee4484ff3a38425e4bc5d6bd361dfb818fe2f460bf64c2e9ac956cfb13d

🔗 Source originale : https://www.cyfirma.com/research/android-malware-posing-as-indian-bank-apps/

🖴 Archive : https://web.archive.org/web/20250724222907/https://www.cyfirma.com/research/android-malware-posing-as-indian-bank-apps/