Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Des SMS conçus pour voler des milliards de rials aux citoyens iraniens

décembre 2021 par Check Point Research (CPR)

En pleine période de cyberattaques majeures visant la population iranienne, Check Point Research (CPR) constate la présence de campagnes malveillantes permanentes utilisant des SMS conçus par des spécialistes pour infecter des dizaines de milliers d’appareils des citoyens iraniens. Les SMS, conçus pour se faire passer pour des messages du gouvernement iranien, incitent les victimes à télécharger des applications Android malveillantes qui volent les informations d’identification de cartes de crédit, les SMS personnels et les codes d’authentification à deux facteurs. Les acteurs de la menace procèdent ensuite à des retraits d’argent et transforment chaque device infecté en un bot, propageant le malware à d’autres. CPR attribue ces attaques à des cybercriminels, se trouvant probablement en Iran, motivés par l’appât du gain.

- CPR estime que des dizaines de milliers d’appareils Android en ont été victimes, ce qui a entraîné le vol de milliards de rials iraniens.
- Les auteurs de menaces utilisent les canaux Telegram pour échanger des outils malveillants pour la modique somme de 50 dollars.
- L’enquête de CPR révèle que les données volées sur les appareils des victimes ne sont pas protégées et sont facilement accessibles à des tiers en ligne.

Les acteurs de la menace impliqués utilisent une technique connue sous le nom de botnets de « smishing », dans laquelle les appareils compromis sont utilisés comme bots pour diffuser des SMS de phishing similaires à d’autres victimes potentielles. Les acteurs de la menace utilisent plusieurs canaux Telegram pour promouvoir et vendre leurs outils. Pour 50 à 150 dollars, les attaquants fournissent un « kit de campagne Android » complet, comprenant l’application malveillante et les structures connexes, avec un panneau de contrôle qui peut être facilement géré par n’importe quel attaquant non qualifié via une simple interface de bot Telegram.

Des milliards de rials iraniens ont été détournés.

CPR estime que ces cybercriminels ont compromis et installé des logiciels malveillants sur des dizaines de milliers d’appareils Android, ce qui a entraîné le vol de milliards de rials iraniens aux victimes, avec des estimations de 1 000 à 2 000 dollars par victime. Par ailleurs, l’enquête de CPR révèle que les données volées sur les appareils des victimes sont facilement accessibles à des tiers en ligne, car elles ne sont pas protégées.

Méthode d’attaque

1. L’attaque commence par un SMS de phishing. Dans de nombreux cas, il s’agit d’un message provenant d’un système électronique de notification judiciaire qui informe la victime qu’elle est visée par une plainte. Le message SMS contient un lien vers une page web permettant un suivi de la plainte.

2. La page web incite l’utilisateur à télécharger une application Android malveillante et à saisir les données de sa carte de crédit moyennant des frais de service minimes.

3. Une fois installée, l’application Android malveillante vole tous les SMS de l’appareil infecté, permettant aux attaquants d’utiliser la carte de crédit avec accès aux SMS 2FA envoyés par les sociétés de cartes de crédit.

4. L’application malveillante recherche régulièrement de nouvelles commandes à exécuter sur le serveur C&C sous le contrôle de l’attaquant. La commande la plus intéressante est celle qui permet de diffuser des SMS de phishing supplémentaires à une liste de nouveaux numéros de téléphone.

Capacités des malwares

Les capacités de la porte dérobée Android comprennent :
- Le vol de SMS : Immédiatement après l’installation de la fausse application, tous les SMS de la victime sont téléchargés sur le serveur de l’attaquant.
- La dissimulation pour maintenir la persistance : Une fois que les informations relatives aux cartes bancaires ont été envoyées à l’acteur de la menace, l’application peut masquer son icône, ce qui empêche la victime de la contrôler ou la désinstaller.
- Le contournement de l’authentification 2FA : avec un accès aux informations relatives à la carte et aux SMS sur l’appareil de la victime, les attaquants peuvent procéder à des retraits non autorisés sur les comptes bancaires de la victime, en détournant l’authentification 2FA (mot de passe à usage unique).
- Les capacités du botnet : Le malware permet à l’attaquant d’exécuter des commandes supplémentaires sur l’appareil de la victime, comme voler les contacts et envoyer des SMS. · La « Wormability » : L’application peut envoyer des SMS à une liste de victimes potentielles, à l’aide d’un message personnalisé et d’une liste de numéros de téléphone, tous deux récupérés sur le serveur C&C. Cela permet aux acteurs de distribuer des messages de phishing à partir des numéros de téléphone d’utilisateurs plutôt qu’à partir d’un lieu centralisé et de ne pas être limités à un petit ensemble de numéros de téléphone qui pourraient être facilement bloqués. Cela signifie que, techniquement, il n’existe pas de numéros « malveillants » susceptibles d’être bloqués par les sociétés de télécommunications ou de remonter jusqu’à l’agresseur.

Citation : Alexandra Gofman, responsable de l’équipe Threat Intelligence chez Check Point Software :
« La population iranienne se trouve dans une situation qui ne cesse de s’aggraver, où les cyberattaques ont un impact considérable sur leur vie quotidienne. Ces attaques ont commencé par les chemins de fer, que nous avons rattachés à un groupe appelé Indra. Les attaques se sont poursuivies vers les stations-service, puis la compagnie nationale d’aviation. Bien que nous ne voyions pas de lien direct entre ces dernières cyberattaques et les principales attaques évoquées plus haut, nos dernières observations montrent que même les cyberattaques les moins sophistiquées causent des dommages importants à la population iranienne.

La vitesse et la propagation de ces cyberattaques sont sans précédent. C’est un exemple de campagne très lucrative, destinée au grand public. La campagne exploite l’ingénierie sociale et inflige d’importantes pertes financières à ses victimes, malgré la faible qualité et la simplicité technique de ses outils. Son succès s’explique par plusieurs raisons. Tout d’abord, lorsqu’il s’agit de messages officiels du gouvernement, les citoyens sont tentés de regarder de plus près et de cliquer sur le lien fourni. Deuxièmement, en raison de la nature botnet de ces attaques, où chaque dispositif infecté reçoit l’ordre de distribuer des SMS de phishing supplémentaires, ces campagnes se propagent rapidement à un grand nombre de victimes potentielles. Bien que ces campagnes spécifiques soient répandues en Iran, elles pourraient avoir lieu dans n’importe quelle autre partie du monde. Je pense qu’il est important de sensibiliser les gens aux stratagèmes d’ingénierie sociale employés par des acteurs malveillants. »

Conseils de sécurité

CPR suggère les consignes de sécurité suivantes aux personnes concernées :
- Télécharger des applications, depuis les app stores, même celles recommandées par des proches ou suggérées sur les médias sociaux.
- Utiliser une authentification à deux facteurs, de préférence à partir de deux appareils différents.
- Protéger son appareil mobile, autant qu’un ordinateur portable.




Voir les articles précédents

    

Voir les articles suivants