L’article publié par McAfee révèle une campagne de malware sophistiquée ciblant les utilisateurs Android en Inde, en se faisant passer pour des applications bancaires populaires telles que SBI Card, Axis Bank et IndusInd Bank.
Le malware combine le vol de données financières avec des capacités de minage de cryptomonnaie Monero cachées, déclenchées via Firebase Cloud Messaging. Il est distribué par le biais de sites de phishing convaincants imitant les portails bancaires légitimes.
Techniquement, le malware fonctionne comme un dropper multi-étapes qui décrypte et charge des fichiers DEX chiffrés à partir du dossier des actifs en utilisant un chiffrement XOR. La première étape charge un composant chargeur, qui décrypte et exécute la charge utile finale.
La fonctionnalité de minage de cryptomonnaie utilise XMRig avec ProcessBuilder pour exécuter des binaires téléchargés avec des paramètres spécifiques à Monero. Le malware exploite Firebase Cloud Messaging pour déclencher à distance les opérations de minage et présente des interfaces bancaires factices pour récolter les informations d’identification des utilisateurs, y compris les numéros de carte, les codes CVV et les informations personnelles.
Cet article est une analyse de menace visant à informer sur les méthodes d’attaque et les impacts potentiels sur les utilisateurs ciblés en Inde.
🧠 TTPs et IOCs détectés
TTPs
T1566.002 (Spearphishing Link), T1407 (XOR Encryption), T1406 (Obfuscated Files or Information), T1409 (Process Injection), T1411 (Exploitation for Client Execution), T1412 (Input Capture), T1414 (Exfiltration Over C2 Channel), T1583.001 (Acquire Infrastructure: Domains), T1587.001 (Develop Capabilities: Malware), T1587.002 (Develop Capabilities: Code Signing Certificates), T1608.003 (Stage Capabilities: Install Digital Certificates), T1620 (Reflective Code Loading), T1632 (Data from Local System), T1636 (Data from Information Repositories), T1646 (Use Alternate Authentication Material), T1647 (Mine Cryptocurrency), T1652 (Remote Access Software)
IOCs
SBI Card, Axis Bank, IndusInd Bank, Firebase Cloud Messaging, XMRig
🔗 Source originale : https://www.mcafee.com/blogs/other-blogs/mcafee-labs/android-malware-targets-indian-banking-users-to-steal-financial-info-and-mine-crypto/