Selon CYFIRMA, ce rapport détaille un malware bancaire Android sophistiqué, nommé Lazarus Stealer, qui se dissimule sous le nom “GiftFlipSoft” pour cibler des applications bancaires russes tout en restant invisible pour l’utilisateur. L’outil vole des numéros de carte, codes PIN et identifiants via des attaques par superposition (overlay) et l’interception des SMS.

Le malware exploite des permissions Android à haut risqueRECEIVE_SMS, SYSTEM_ALERT_WINDOW, PACKAGE_USAGE_STATS — afin d’assurer sa persistance et de surveiller l’activité des apps bancaires. Il se définit comme application SMS par défaut pour détourner les OTP, utilise WindowManager pour afficher des interfaces de phishing au-dessus des apps légitimes, maintient une communication C2 continue via HTTP POST, et s’appuie sur des services au premier plan (AppMonitorService, SMSForwardService) pour un monitoring persistant. Il intègre aussi un chargement dynamique de WebView permettant la livraison de contenus contrôlés par l’opérateur. 📱⚠️

L’analyse d’infrastructure met en évidence plusieurs serveurs C2, principalement hébergés chez SERV.HOST GROUP LTD. Le groupe à l’origine de cette menace est lié à des forums clandestins russophones et opère via plusieurs serveurs de commande et contrôle.

• Indicateurs (IOCs) extraits:

  • Famille de malware: Lazarus Stealer
  • App leurre: “GiftFlipSoft”
  • Services Android: AppMonitorService, SMSForwardService
  • Hébergement C2: SERV.HOST GROUP LTD (plusieurs serveurs, détails non fournis)

• Tactiques, techniques et procédures (TTPs):

  • Overlay/phishing in-app via WindowManager
  • Interception d’OTP/SMS et définition comme app SMS par défaut
  • Surveillance des apps via PACKAGE_USAGE_STATS
  • Persistance via services au premier plan
  • C2 en HTTP POST avec contenus WebView dynamiques

Article: analyse de menace / publication de recherche visant à documenter les techniques, l’infrastructure C2 et les capacités de vol de données de ce malware Android.

🧠 TTPs et IOCs détectés

TTPs

Overlay/phishing in-app via WindowManager, Interception d’OTP/SMS et définition comme app SMS par défaut, Surveillance des apps via PACKAGE_USAGE_STATS, Persistance via services au premier plan, C2 en HTTP POST avec contenus WebView dynamiques

IOCs

Famille de malware: Lazarus Stealer, App leurre: GiftFlipSoft, Services Android: AppMonitorService, SMSForwardService, Hébergement C2: SERV.HOST GROUP LTD

🔗 Source originale : https://www.cyfirma.com/research/lazarus-stealer-android-malware-for-russian-bank-credential-theft-through-overlay-and-sms-manipulation/

🖴 Archive : https://web.archive.org/web/20250817163412/https://www.cyfirma.com/research/lazarus-stealer-android-malware-for-russian-bank-credential-theft-through-overlay-and-sms-manipulation/