Android Marcher : Les programmes malveillants sur mobile (mobile malwares) en perpétuelle mutation
septembre 2016 par Yogi Chandiramani, Solution Architect Director, EMEA Malware mobile de Zscaler
Créé en 2013, le malware mobile Android Marcher s’attaque plus particulièrement à Google Play en recueillant les identifiants et les données de carte de crédit des utilisateurs. Le malware attend que les victimes ouvrent le Google Play Store et affiche alors une fausse page HTML demandant des informations de carte de crédit. La fausse page ne disparait pas tant que l’utilisateur ne fournit pas les informations de paiement.
En mars 2014, le ThreatLabZ de Zscaler a identifié de nouvelles variantes ciblant les organismes financiers en Allemagne. Lors de l’attaque, Marcher inspectait l’appareil de la victime et envoyait une liste de toutes les applications installées à son serveur de Commande et Contrôle (C&C). Si le malware trouvait une application financière allemande installée sur l’appareil, il affichait alors une fausse page demandant les identifiants correspondant à cette institution en particulier. Ignorant que la page était une fausse, la victime fournissait alors ses identifiants qui étaient ensuite transmis au serveur C&C du malware. Le malware affichait également une fausse page de paiement de Google Play si l’appareil infecté ne comportait pas d’applications de sociétés financières allemandes. Cet exemple a été évoqué dans un précédent article du ThreatLabZ de Zscaler, que vous pouvez trouver ici.
Marcher s’est ensuite mis à cibler les entreprises financières d’Australie, de France, de Turquie et des Etats-Unis. D’autres exemples ciblant PayPal ont également été observés. Récemment, Marcher a ajouté le Royaume-Uni à sa « liste d’attaques ».
Auparavant, Marcher était activé à partir de fausses applications Amazon et Google Play Store. Il s’est également attaqué à un faux site pornographique prétendant être une mise à jour de Chrome. Ce mois-ci, un nouveau changement dans le fonctionnement de Marcher a été observé : le malware s’est matérialisé sous forme d’une fausse mise à jour du firmware Android. Un fichier d’installation appelé « Firmware_Update.apk » a été découvert. L’objectif est d’inquiéter les victimes via une fausse page HTML en faisant croire que l’appareil est vulnérable et exposé aux virus et de les inciter ainsi à installer une fausse mise à jour afin d’éviter le vol des données personnelles.
Fausse page de mise à jour
Pour effectuer son activité malveillante lors de l’installation, Marcher demande l’accès administrateur.
En 2013, Marcher ne ciblait que les utilisateurs mobiles russes ; cependant, des exemples récents ont mis en évidence que l’auteur a mis en place des contrôles pour savoir si l’appareil infecté venait des CIS/SIG et ainsi stopper son activité si l’appareil appartenait bien à ces territoires. En général, l’auteur des logiciels malveillants effectue cette vérification pour éviter les poursuites judiciaires. De tels contrôles indiquent que le malware peut avoir été écrit et maintenu par des pays de la CIS/SIG. Voir la capture d’écran suivante.
Contrôle des pays CIS/SIG
Un autre changement consiste à la mise en place de simples brouillages par l’auteur des logiciels malveillants en utilisant l’encodage base64 et des fonctions de remplacement de chaîne. Dans le cadre d’exemples plus anciens, ces brouillages n’ont pas été observés.
Voir la capture d’écran suivante :
Technique de simple brouillage
Auparavant, nous avons vu que le malware ne montrait qu’une fausse page d’identification Google Play Store que si l’utilisateur ouvrait l’application. Dans des exemples plus récents, l’auteur des logiciels malveillants met en place des contrôles pour de multiples applications bien connues et affiche la fausse page d’identification si l’utilisateur ouvre une de ces applications.
Liste des applications encodées en base64.
• Playstore (com.android.vending)
• Viber app (com.viber.voip)
• Whatsapp (com.whatsapp)
• Skype (com.skype.raider)
• Facebook messenger (com.facebook.orca)
• Facebook (com.facebook.katana)
• Instagram (com.instagram.android)
• Chrome (com.android.chrome)
• Twitter (com.twitter.android)
• Gmail (com.google.android.gm)
• UC Browser (com.UCMobile.intl)
• Line (jp.naver.line.android)
Des changements dans la communication C&C ont également pu être mis en évidence. Auparavant, Marcher communiquait via un simple protocole HTTP. Désormais, la communication C&C se fait au travers de SSL. Cf. captures d’écran suivantes.
C&C via SSL
De nombreuses tentatives d’infection sont observées dans le cloud Zscaler pour cette famille de logiciels malveillants. Ces changements fréquents attestent de l’évolution constante de ce type de malware, ce qui en fait la menace la plus répandue pour les appareils Android.
Pour éviter d’être victime d’un tel malware, il est toujours préférable de télécharger des applications via des App Stores réputés, tels Google Play et de décocher l’option « Sources inconnues » sous les paramètres « Sécurité » de votre appareil.
Le ThreatLabZ de Zscaler surveille activement ce malware et s’assure que ses clients sont protégés.