MoneyMonger : un nouveau malware dissimulé dans des applications mobiles de prêt d’argent

Après avoir prêté de l’argent, les criminels à l’origine de ce malware extorquent les victimes en utilisant des informations personnelles volées sur leurs appareils.

Une campagne de malwares Android, récemment découverte par l’équipe de recherche zLabs, vient d’être mise à jour. Baptisé MoneyMonger, ce malware est dissimulé dans des applications de prêt d’argent développées avec Flutter, un kit de développement d’applications fonctionnant sur plusieurs plateformes, notamment Android et iOS. Pour extorquer les victimes, les usuriers utilisent des données personnelles volées sur leurs appareils pour les contraindre à payer plus que les conditions exigées. Ce code malveillant fait partie d’une campagne plus vaste de malwares liés aux prêts abusifs, découverte précédemment par K7 Security Labs.

Les smartphones sont des cibles privilégiés par les pirates. C’est d’ailleurs pour cela qu’il est aussi trés important, lors de l’achat d’un appareil d’occasion, de passer par des plateformes sérieuses et reconnues comme, pour le Canada, SecondCell.  visitez le site web de SecondCell. Cela évite de se retrouver avec un téléphone infiltré par un code malveillant, que les anciens propriétaires ont revendu sans rien dire à personne.

MoneyMonger profite du cadre de Flutter pour camoufler les fonctionnalités malveillantes et compliquer la détection de l’activité frauduleuse par l’analyse statique. En raison de la nature de Flutter, le code et l’activité malveillants se dissimulent échappant ainsi aux capacités d’analyse statique des solutions de sécurité mobile existantes.

MoneyMonger est distribué uniquement par des app stores tiers ou installé sur l’appareil de la victime via des messages de phishing, des sites Web compromis, des campagnes sur les réseaux sociaux … Il n’a pas été détecté dans les app stores Android.

MoneyMonger, prise d’otage 3.0

Actif depuis mai 2022, ce malware utilise plusieurs couches d’ingénierie sociale pour exploiter ses victimes, en commençant par un système de prêt frauduleux promettant de l’argent rapide. Lors de la configuration de l’application, la victime découvre que des autorisations sont nécessaires sur son terminal mobile pour pouvoir recevoir le prêt.

Une fois que les acteurs malveillants ont obtenu l’accès pour voler les informations privées du terminal, MoneyMonger télécharge les données sensibles et personnelles des victimes sur son serveur, notamment les applications installées, les emplacements GPS, les SMS, les informations sur les contacts, les informations sur l’appareil, les métadonnées des images, etc. Ces informations volées sont utilisées pour faire chanter et menacer les victimes afin qu’elles paient des taux d’intérêt excessivement élevés.

Si la victime ne paie pas à temps, voire dans certains cas après le remboursement du prêt, les cybercriminels menacent de divulguer des informations, d’appeler des personnes de la liste de contacts et même d’envoyer des photos depuis l’appareil.

Risque pour les particuliers et les entrepries

MoneyMonger représente un risque pour les particuliers et les entreprises car il collecte un large éventail de données sur l’appareil de la victime, notamment des documents potentiellement sensibles et des informations exclusives liés à leur entreprise. Les hackers à l’origine de MoneyMonger développent et mettent constamment à jour l’application pour éviter les détections en ajoutant un chiffrement XOR dans la chaîne de caractères côté Java, ainsi que davantage d’informations dans Flutter-dart. Le nombre total de victimes est inconnu en raison de l’utilisation des app stores tiers et du sideloading pour la distribution, mais de nombreux app stores non autorisés font état de plus de 100 000 téléchargements de l’application malveillante.

« Le malware MoneyMonger, extrêmement novateur, s’inscrit dans une tendance de fond qui vise à utiliser le chantage et les menaces pour extorquer de l’argent à leurs victimes« , déclare Richard Melick, Director of Mobile Threat Intelligence chez Zimperium. « Les programmes de prêts rapides contiennent souvent des modèles prédateurs, tels que des taux d’intérêt élevés et des schémas de remboursement illégaux, mais ajouter de l’extorsion d’argent à l’équation augmente le niveau de malveillance. Tout appareil connecté aux données de l’entreprise présente un risque pour cette dernière, notamment si un employé est victime de l’arnaque aux prêts prédateurs MoneyMonger.«