MoneyMonger : un nouveau malware dissimulé dans des applications mobiles de prêt d’argent

Posted On 16 Déc 2022

Après avoir prêté de l’argent, les criminels à l’origine de ce malware extorquent les victimes en utilisant des informations personnelles volées sur leurs appareils.

Une campagne de malwares Android, récemment découverte par l’équipe de recherche zLabs, vient d’être mise à jour. Baptisé MoneyMonger, ce malware est dissimulé dans des applications de prêt d’argent développées avec Flutter, un kit de développement d’applications fonctionnant sur plusieurs plateformes, notamment Android et iOS. Pour extorquer les victimes, les usuriers utilisent des données personnelles volées sur leurs appareils pour les contraindre à payer plus que les conditions exigées. Ce code malveillant fait partie d’une campagne plus vaste de malwares liés aux prêts abusifs, découverte précédemment par K7 Security Labs.

Les smartphones sont des cibles privilégiés par les pirates. C’est d’ailleurs pour cela qu’il est aussi trés important, lors de l’achat d’un appareil d’occasion, de passer par des plateformes sérieuses et reconnues comme, pour le Canada, SecondCell. visitez le site web de SecondCell. Cela évite de se retrouver avec un téléphone infiltré par un code malveillant, que les anciens propriétaires ont revendu sans rien dire à personne.

MoneyMonger profite du cadre de Flutter pour camoufler les fonctionnalités malveillantes et compliquer la détection de l’activité frauduleuse par l’analyse statique. En raison de la nature de Flutter, le code et l’activité malveillants se dissimulent échappant ainsi aux capacités d’analyse statique des solutions de sécurité mobile existantes.

MoneyMonger est distribué uniquement par des app stores tiers ou installé sur l’appareil de la victime via des messages de phishing, des sites Web compromis, des campagnes sur les réseaux sociaux … Il n’a pas été détecté dans les app stores Android.

MoneyMonger, prise d’otage 3.0

Actif depuis mai 2022, ce malware utilise plusieurs couches d’ingénierie sociale pour exploiter ses victimes, en commençant par un système de prêt frauduleux promettant de l’argent rapide. Lors de la configuration de l’application, la victime découvre que des autorisations sont nécessaires sur son terminal mobile pour pouvoir recevoir le prêt.

Une fois que les acteurs malveillants ont obtenu l’accès pour voler les informations privées du terminal, MoneyMonger télécharge les données sensibles et personnelles des victimes sur son serveur, notamment les applications installées, les emplacements GPS, les SMS, les informations sur les contacts, les informations sur l’appareil, les métadonnées des images, etc. Ces informations volées sont utilisées pour faire chanter et menacer les victimes afin qu’elles paient des taux d’intérêt excessivement élevés.

Si la victime ne paie pas à temps, voire dans certains cas après le remboursement du prêt, les cybercriminels menacent de divulguer des informations, d’appeler des personnes de la liste de contacts et même d’envoyer des photos depuis l’appareil.

Risque pour les particuliers et les entrepries

MoneyMonger représente un risque pour les particuliers et les entreprises car il collecte un large éventail de données sur l’appareil de la victime, notamment des documents potentiellement sensibles et des informations exclusives liés à leur entreprise. Les hackers à l’origine de MoneyMonger développent et mettent constamment à jour l’application pour éviter les détections en ajoutant un chiffrement XOR dans la chaîne de caractères côté Java, ainsi que davantage d’informations dans Flutter-dart. Le nombre total de victimes est inconnu en raison de l’utilisation des app stores tiers et du sideloading pour la distribution, mais de nombreux app stores non autorisés font état de plus de 100 000 téléchargements de l’application malveillante.

« Le malware MoneyMonger, extrêmement novateur, s’inscrit dans une tendance de fond qui vise à utiliser le chantage et les menaces pour extorquer de l’argent à leurs victimes« , déclare Richard Melick, Director of Mobile Threat Intelligence chez Zimperium. « Les programmes de prêts rapides contiennent souvent des modèles prédateurs, tels que des taux d’intérêt élevés et des schémas de remboursement illégaux, mais ajouter de l’extorsion d’argent à l’équation augmente le niveau de malveillance. Tout appareil connecté aux données de l’entreprise présente un risque pour cette dernière, notamment si un employé est victime de l’arnaque aux prêts prédateurs MoneyMonger.«

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.