Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Android Marcher : Les programmes malveillants sur mobile (mobile malwares) en perpétuelle mutation

septembre 2016 par Yogi Chandiramani, Solution Architect Director, EMEA Malware mobile de Zscaler

Créé en 2013, le malware mobile Android Marcher s’attaque plus particulièrement à Google Play en recueillant les identifiants et les données de carte de crédit des utilisateurs. Le malware attend que les victimes ouvrent le Google Play Store et affiche alors une fausse page HTML demandant des informations de carte de crédit. La fausse page ne disparait pas tant que l’utilisateur ne fournit pas les informations de paiement.

En mars 2014, le ThreatLabZ de Zscaler a identifié de nouvelles variantes ciblant les organismes financiers en Allemagne. Lors de l’attaque, Marcher inspectait l’appareil de la victime et envoyait une liste de toutes les applications installées à son serveur de Commande et Contrôle (C&C). Si le malware trouvait une application financière allemande installée sur l’appareil, il affichait alors une fausse page demandant les identifiants correspondant à cette institution en particulier. Ignorant que la page était une fausse, la victime fournissait alors ses identifiants qui étaient ensuite transmis au serveur C&C du malware. Le malware affichait également une fausse page de paiement de Google Play si l’appareil infecté ne comportait pas d’applications de sociétés financières allemandes. Cet exemple a été évoqué dans un précédent article du ThreatLabZ de Zscaler, que vous pouvez trouver ici.

Marcher s’est ensuite mis à cibler les entreprises financières d’Australie, de France, de Turquie et des Etats-Unis. D’autres exemples ciblant PayPal ont également été observés. Récemment, Marcher a ajouté le Royaume-Uni à sa « liste d’attaques ».

Auparavant, Marcher était activé à partir de fausses applications Amazon et Google Play Store. Il s’est également attaqué à un faux site pornographique prétendant être une mise à jour de Chrome. Ce mois-ci, un nouveau changement dans le fonctionnement de Marcher a été observé : le malware s’est matérialisé sous forme d’une fausse mise à jour du firmware Android. Un fichier d’installation appelé « Firmware_Update.apk » a été découvert. L’objectif est d’inquiéter les victimes via une fausse page HTML en faisant croire que l’appareil est vulnérable et exposé aux virus et de les inciter ainsi à installer une fausse mise à jour afin d’éviter le vol des données personnelles.

Fausse page de mise à jour

Pour effectuer son activité malveillante lors de l’installation, Marcher demande l’accès administrateur.

En 2013, Marcher ne ciblait que les utilisateurs mobiles russes ; cependant, des exemples récents ont mis en évidence que l’auteur a mis en place des contrôles pour savoir si l’appareil infecté venait des CIS/SIG et ainsi stopper son activité si l’appareil appartenait bien à ces territoires. En général, l’auteur des logiciels malveillants effectue cette vérification pour éviter les poursuites judiciaires. De tels contrôles indiquent que le malware peut avoir été écrit et maintenu par des pays de la CIS/SIG. Voir la capture d’écran suivante.

Contrôle des pays CIS/SIG

Un autre changement consiste à la mise en place de simples brouillages par l’auteur des logiciels malveillants en utilisant l’encodage base64 et des fonctions de remplacement de chaîne. Dans le cadre d’exemples plus anciens, ces brouillages n’ont pas été observés.
Voir la capture d’écran suivante :

Technique de simple brouillage

Auparavant, nous avons vu que le malware ne montrait qu’une fausse page d’identification Google Play Store que si l’utilisateur ouvrait l’application. Dans des exemples plus récents, l’auteur des logiciels malveillants met en place des contrôles pour de multiples applications bien connues et affiche la fausse page d’identification si l’utilisateur ouvre une de ces applications.

Liste des applications encodées en base64.
&#8226 Playstore (com.android.vending)
&#8226 Viber app (com.viber.voip)
&#8226 Whatsapp (com.whatsapp)
&#8226 Skype (com.skype.raider)
&#8226 Facebook messenger (com.facebook.orca)
&#8226 Facebook (com.facebook.katana)
&#8226 Instagram (com.instagram.android)
&#8226 Chrome (com.android.chrome)
&#8226 Twitter (com.twitter.android)
&#8226 Gmail (com.google.android.gm)
&#8226 UC Browser (com.UCMobile.intl)
&#8226 Line (jp.naver.line.android)

Des changements dans la communication C&C ont également pu être mis en évidence. Auparavant, Marcher communiquait via un simple protocole HTTP. Désormais, la communication C&C se fait au travers de SSL. Cf. captures d’écran suivantes.

C&C via SSL

De nombreuses tentatives d’infection sont observées dans le cloud Zscaler pour cette famille de logiciels malveillants. Ces changements fréquents attestent de l’évolution constante de ce type de malware, ce qui en fait la menace la plus répandue pour les appareils Android.

Pour éviter d’être victime d’un tel malware, il est toujours préférable de télécharger des applications via des App Stores réputés, tels Google Play et de décocher l’option « Sources inconnues » sous les paramètres « Sécurité » de votre appareil.

Le ThreatLabZ de Zscaler surveille activement ce malware et s’assure que ses clients sont protégés.


Voir les articles précédents

    

Voir les articles suivants