Zimperium découvre un nouveau malware dissimulé dans des applications mobiles de prêt d’argent développées sur Flutter
décembre 2022 par Zimperium
Zimperium vient de publier son analyse sur une campagne de malwares Android, récemment découverte par son équipe de recherche zLabs. Baptisé MoneyMonger, ce malware est dissimulé dans des applications de prêt d’argent développées avec Flutter, un kit de développement d’applications fonctionnant sur plusieurs plateformes, notamment Android et iOS. Pour extorquer les victimes, les usuriers utilisent des données personnelles volées sur leurs appareils pour les contraindre à payer plus que les conditions exigées. Ce code malveillant fait partie d’une campagne plus vaste de malwares liés aux prêts abusifs, découverte précédemment par K7 Security Labs.
MoneyMonger profite du cadre de Flutter pour camoufler les fonctionnalités malveillantes et compliquer la détection de l’activité frauduleuse par l’analyse statique. En raison de la nature de Flutter, le code et l’activité malveillants se dissimulent échappant ainsi aux capacités d’analyse statique des solutions de sécurité mobile existantes.
MoneyMonger est distribué uniquement par des app stores tiers ou installé sur l’appareil de la victime via des messages de phishing, des sites Web compromis, des campagnes sur les réseaux sociaux ... Il n’a pas été détecté dans les app stores Android. Actif depuis mai 2022, ce nouveau malware utilise plusieurs couches d’ingénierie sociale pour exploiter ses victimes, en commençant par un système de prêt frauduleux promettant de l’argent rapide. Lors de la configuration de l’application, la victime découvre que des autorisations sont nécessaires sur son terminal mobile pour pouvoir recevoir le prêt. Une fois que les acteurs malveillants ont obtenu l’accès pour voler les informations privées du terminal, MoneyMonger télécharge les données sensibles et personnelles des victimes sur son serveur, notamment les applications installées, les emplacements GPS, les SMS, les informations sur les contacts, les informations sur l’appareil, les métadonnées des images, etc. Ces informations volées sont utilisées pour faire chanter et menacer les victimes afin qu’elles paient des taux d’intérêt excessivement élevés. Si la victime ne paie pas à temps, voire dans certains cas après le remboursement du prêt, les cybercriminels menacent de divulguer des informations, d’appeler des personnes de la liste de contacts et même d’envoyer des photos depuis l’appareil.
MoneyMonger représente un risque pour les particuliers et les entreprises car il collecte un large éventail de données sur l’appareil de la victime, notamment des documents potentiellement sensibles et des informations exclusives liés à leur entreprise. Les hackers à l’origine de MoneyMonger développent et mettent constamment à jour l’application pour éviter les détections en ajoutant un chiffrement XOR dans la chaîne de caractères côté Java, ainsi que davantage d’informations dans Flutter-dart. Le nombre total de victimes est inconnu en raison de l’utilisation des app stores tiers et du sideloading pour la distribution, mais de nombreux app stores non autorisés font état de plus de 100 000 téléchargements de l’application malveillante.
"Le malware MoneyMonger, extrêmement novateur, s’inscrit dans une tendance de fond qui vise à utiliser le chantage et les menaces pour extorquer de l’argent à leurs victimes", a déclaré Richard Melick, Director of Mobile Threat Intelligence chez Zimperium. "Les programmes de prêts rapides contiennent souvent des modèles prédateurs, tels que des taux d’intérêt élevés et des schémas de remboursement illégaux, mais ajouter de l’extorsion d’argent à l’équation augmente le niveau de malveillance. Tout appareil connecté aux données de l’entreprise présente un risque pour cette dernière, notamment si un employé est victime de l’arnaque aux prêts prédateurs MoneyMonger ."