Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Malware GlanceLove : Espionnage sous couverture lors de la Coupe du monde de football

juillet 2018 par Check Point

Lorsque le coup de sifflet du premier match de la Coupe du Monde 2018 a retenti, cela n’a pas seulement marqué le début d’un tournoi mondialement suivi par les fans de football, cela a également donné le feu vert aux pirates informatiques d’exploiter cet événement à leurs propres fins.

La semaine dernière, les agences de sécurité israéliennes ont annoncé que l’organisation terroriste du Hamas avait réussi à installer des logiciels espions sur les smartphones de soldats israéliens durant une tentative de collecte d’informations sur son ennemi de longue date. Une centaine de personnes ont été victimes de l’attaque qui a été menée à l’aide de fausses applications en liens avec la Coupe du monde de football et d’autres de rencontres en ligne, qui ont été téléchargées sur Google Play Store, la boutique d’applications officielle de Google. L’application la plus ancienne a été téléchargée dès novembre 2017, ce qui signifie qu’elle s’est cachée sans être détectée dans la boutique d’applications pendant plusieurs mois.

Les chercheurs de Check Point ont obtenu des échantillons du logiciel malveillant, surnommé « GlanceLove », et ont analysé son fonctionnement. En bref, cette attaque est assez rare dans le sens où un cheval de Troie pleinement opérationnel est parvenu à contourner les protections de Google Play. C’est également un bon exemple de la façon dont les pirates utilisent des événements majeurs pour attirer des victimes, et se cacher parmi des dizaines d’applications qui se rapportent à ces événements.

L’équipe de Check Point Research a noté la tendance à exploiter la popularité de la Coupe du monde de cette année, via des campagnes de phishing, pour attirer des victimes potentielles. Au début du tournoi, un nouveau stratagème de phishing exploitait des victimes en les incitant à télécharger une application infectée de calendrier des matchs et de consultation des résultats de la Coupe du Monde de la FIFA sur leur PC. La campagne tentait de susciter leur intérêt par une ligne d’objet d’email liée à la coupe du monde. Une fois ouverte, la pièce jointe utilisait un téléchargeur connu de programmes potentiellement indésirables appelé « DownloaderGuide », qui est le plus souvent utilisé comme programme d’installation d’applications telles que des barres d’outils, des logiciels publicitaires ou des optimiseurs de système. Lors d’une seconde attaque de phishing, un exécutable malveillant a été livré, utilisant à nouveau un calendrier des matchs de la Coupe du monde pour attirer les victimes qui ne se doutaient de rien. Cette fois, le logiciel malveillant était conçu pour dérober les identifiants de connexion des utilisateurs de Chrome, Firefox et Outlook, et consigner des informations sur l’ordinateur infecté et le système d’exploitation lui-même.

Fonctionnement du logiciel malveillant « GlanceLove »

L’attaque commence lorsque l’utilisateur est attiré sur une page Facebook apparemment innocente et de faux profils faisant la promotion d’une application appelée « Golden Cup ». Ceci permet de renforcer la crédibilité à l’application et ne pas éveiller de soupçons parmi ses cibles tandis que l’utilisateur est encouragé à télécharger l’application depuis Google Play. Les versions antérieures du logiciel malveillant se propageaient via des tactiques similaires, déguisées en applications de rencontre et de chat, appelées « Glance Love » et « Wink Chat ».

Lors de l’installation, l’application demande à l’utilisateur d’approuver une longue liste d’autorisations, y compris l’accès à la connexion réseau de l’appareil, aux contacts, SMS, à la caméra et au stockage interne. Ces autorisations étendues sont utilisées ultérieurement à des fins malveillantes. En effet, l’application elle-même est complètement bénigne, ce qui lui a permis d’infiltrer Google Play malgré les protections de Google. Cependant, alors que les applications fournissent de véritables fonctionnalités, comme « Golden Cup » par exemple fournissant des informations sur la Coupe du Monde, leur objectif réel est de jouer le rôle de téléchargeur pour installer et exécuter des composants malveillants sans aucune interaction de la part des utilisateurs.

« Golden Cup » contacte ensuite son serveur de commande et de contrôle, et télécharge un autre composant sous la forme de fichier dex. Le fichier dex contient plusieurs fonctionnalités malveillantes, notamment de vol de photos, de contacts et de messages SMS, et de capture de la localisation de l’appareil, qui sont envoyées au serveur de commande et de contrôle avec des détails concernant les propriétés de l’appareil. Lorsque certaines conditions sont remplies, le pirate ordonne au second composant de télécharger un fichier apk supplémentaire contenant le troisième composant de l’attaque, qui possède des fonctionnalités plus avancées. Pour télécharger ce composant, l’application nécessite le consentement de l’utilisateur.

Ce composant possède trois interfaces principales :

ReceiverManager : Cette interface permet d’enregistrer les appels téléphoniques en écoutant le microphone de l’appareil, et de rendre également compte au serveur de toute nouvelle application installée et des appels téléphoniques effectués sur l’appareil. Cela lui permet effectivement d’espionner l’utilisateur. Cette interface permet également de prendre des photos via la caméra de l’appareil. ConnectivityManager : Cette interface est chargée de la communication avec le serveur de commande et de contrôle, qui est différent du serveur utilisé pour les étapes précédentes de l’attaque. Le serveur de commande et de contrôle envoie des commandes au logiciel malveillant pour collecter des informations à partir de l’appareil, installer des applications supplémentaires et même s’autodétruire (afin de ne laisser aucune trace du logiciel malveillant). Cette interface envoie également au serveur une liste de tâches à exécuter sur l’appareil. La communication avec le serveur est chiffrée par l’algorithme AES. L’application génère une clé aléatoire, l’utilise pour chiffrer les données, puis stocke la clé entre les blocs de données avec un décalage unique à l’appareil.

TaskManager : Cette interface orchestre les instances de collecte de données et stocke les informations collectées dans les fichiers téléchargés sur le serveur par ConnectivityManager. Chaque tâche de collecte de données peut être activée ou désactivée par une commande de configuration reçue du serveur.

De quoi le logiciel malveillant « GlanceLove » est-il capable ?

« GlanceLove » est un logiciel espion avancé, capable de pratiquement toute action. Pour être plus précis, le logiciel malveillant peut effectuer les activités suivantes :
• Enregistrement des appels. « GlanceLove » attend une notification de la part de l’interface de ReceiverManager, indiquant que l’utilisateur a décroché le téléphone. Le logiciel malveillant prend
public static byte[] extractData(byte[] ubf, int keyOffset) int 1part_len = ubf.length - 0x20 ; byte[] result = new byte[1part_len] ; int datalen = 1part_len % keyOffset ; int padlen = ubf.length - (datalen + 0x20) ; System.arraycopy(ubf, 0, result, 0, datalen) ; if(1part_len != datalen) System.arraycopy(ubf, datalen + 0x20, result, datalen, padlen) ; return result ; public static byte[] extractKey(byte[] buf, int keyOffset) byte[] result = new byte[0x20] ; System.arraycopy(buf, (buf.length - 0x20) % keyOffset, result, 0, 0x20) ; return result ;

alors une photo une seconde plus tard. Il commence alors à enregistrer la conversation, aussi longtemps que le pirate choisit de l’enregistrer.
• Géolocalisation. Le logiciel malveillant consigne périodiquement la localisation de l’appareil.
• Activation du microphone. Le logiciel malveillant effectue régulièrement un enregistrement sonore à partir du microphone de l’appareil, d’une longueur et à des intervalles prédéfinis. La localisation et le microphone peuvent tous deux être réglés sur un « mode spécial » permettant des enregistrements plus fréquents.
• Vol de SMS. Le logiciel malveillant collecte périodiquement les messages SMS reçus ou envoyés depuis la dernière fois qu’ils les a collectés.
• Prise de photos depuis la caméra. Le logiciel malveillant prend silencieusement des photos depuis l’appareil photo et enregistre les images.
• Consignation du stockage. Le programme malveillant recueille la liste de tous les répertoires de stockage, y compris les noms et les tailles de fichiers.
• Vol de contacts. Le logiciel malveillant collecte des informations à partir du répertoire des contacts de l’utilisateur. Il stocke les noms des contacts, leur numéro et l’heure à laquelle l’utilisateur les a contactés pour la dernière fois.
• Vol d’images. Le logiciel malveillant collecte les images stockées sur l’appareil et les télécharge sur le serveur. Il recueille également les informations EXIF des images, qui indiquent où la photo a été prise.

Pourquoi utiliser une structure d’attaque aussi complexe ?

Il y a plusieurs raisons pour lesquelles le logiciel malveillant possède une structure aussi étendue.
1. Chaque composant est dédié à un processus spécifique et est adapté en conséquence.
2. Le téléchargeur ne doit pas inclure de code malveillant lui-même pour éviter toute détection, et est structuré en conséquence.
3. La séparation entre les deux composants malveillants permet au pirate de passer inaperçu sur la plupart des appareils, et choisir les cibles qu’il souhaite espionner, ce qui lui permet de focaliser la collecte de données et la rendre moins exigeante.

Cette stratégie est appelée « attaque en chaîne ». Elle est extrêmement efficace pour les cybercriminels car elle leur permet de modifier ou mettre à jour facilement un composant qui n’a été que partiellement identifié sans abandonner pour autant la totalité de l’attaque. La structure en liens des attaques en chaîne se prêtent au développement d’un code plus modulaire, qui simplifie l’évolution ultérieure du logiciel malveillant pour l’adapter à de nouveaux systèmes, cibles et zones géographiques. Les attaques en chaîne permettent également aux pirates de limiter la propagation du logiciel malveillant, pour empêcher les éditeurs de solutions de sécurité d’en obtenir des échantillons.

Annexe 1 : Liste des hachages Sha 256 :

Nom : WinkChat (application de Google Play)

Sha 256 : 2ce54d93510126fca83031f9521e40cd8460ae564d3d927e17bd63fb4cb20edc
Nom du package : com.winkchat
Nom : GlanceLove (App de Google Play)

Sha 256 : 67b1a1e7b505ac510322b9d4f4fc1e8a569d6d644582b588faccfeeaa4922cb7
Nom du package : com.coder.glancelove
Nom : World Cup (application de Google Play)

Sha 256 : 166f3a863bb2b66bda9c76dccf9529d5237f6394721f46635b053870eb2fcc5a
Nom du package : anew.football.cup.world.com.worldcup
Nom : GlanceLove (application de Google Play)

Sha 256 : d9601735d674a9e55546fde0bffde235bc5f2546504b31799d874e8c31d5b6e9
Nom du package : com.coder.glancelove
Nom : GlanceLove (App de Google Play)

Sha 256 : b45defca452a640b303288131eb64c485f442aae0682a3c56489d24d59439b47
Nom du package : com.coder.glancelove
Nom : GlanceLove (application de Google Play)

Sha 256 :
1664cb343ee830fa94725fed143b119f7e2351307ed0ce04724b23469b9002f2
Nom du package : com.coder.glancelove
Nom : SoftwareUpdate (module malveillant)

Sha 256 :
7c2c5909d86323c53830552b5e2fd130d2ed68fa22443e1bad22896e08f0a652
Nom du package : com.air.update
Nom : System Update (module malveillant)

Sha 256 :
bcdeb31c0685667da5bf2b61bb0c7c7a00d76a8217d093713827dc5951cc98cb
Nom du package : com.system.update
Nom : System Update (module malveillant)

Sha 256 :
53482979ff5c40b93a6123c043a7deff01d085b08129f1931cfbbc541ba1ddf2
Nom du package : com.android.update
Nom : System Update (module malveillant)

Sha 256 : b9f64ffce38e224e15ec6f81b389a315b35aafe0da173205ff5e6bed4b5ee874
Nom du package : com.android.update




Voir les articles précédents

    

Voir les articles suivants