Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Un Malware Mobile Gouvernemental cible les Syriens avec des leurres COVID-19

avril 2020 par Lookout

Les analystes de Lookout ont découvert une campagne de surveillance de longue durée liée à des acteurs associés à l’Etat syrien, qui exploite depuis peu le thème du coronavirus pour abuser ses cibles et les inciter à télécharger un malware.

Il semble que cette campagne est active depuis le début janvier 2018, et cible des utilisateurs parlant arabe, probablement en Syrie et dans les régions avoisinantes. Aucune des applications mobiles impliquées n’était disponible sur la boutique officielle Google Play, ce qui suggère qu’elles ont probablement été distribuées via des sources exploitées par les acteurs eux mêmes ou des boutiques d’applications tierces. Lookout a précédemment fait état d’une autre campagne de surveillance utilisant des leurres liés au COVID-19 ciblant la Lybie.

Les applications dans cette campagne de surveillance usurpent une variété d’applications, avec des titres tels que “Covid19”, “Telegram Covid_19”, “Android Telegram”, et “Threema Arabic” (une application de messagerie cryptée de bout en bout), ainsi qu’un booster de signal mobile et une application OfficeSuite. Les noms font aussi allusion à des cibles syriennes, avec des titres tels “com.syria.tel”, “syria.tel.ctu”, et “com.syriatel.ctu”.

Connexions syriennes

Les analystes de Lookout ont trouvé 71 applications Android malveillantes connectées au même serveur de commande et de contrôle (C2). L’adresse IP du serveur C2 est située dans un bloc d’adresses détenu par le fournisseur d’accès Internet Tarassul, un ISP appartenant au – et partageant son infrastructure réseau avec – le Syrian Telecommunications Establishment (STE)[1]. STE a historiquement servi d’infrastructure d’hébergement pour la Syrian Electronic Army (SEA), un groupe de hackers sponsorisé par l’Etat syrien. Notamment, les serveurs C2 de SilverHawk, une famille de malwares Android précédemment identifiée par les analystes de Lookout, étaient situés sur des adresses IP appartenant à STE.

Certaines applications n’ont pas été nettoyées de toute information sensible lors de leur création. Une grande partie des applications malveillantes sont des échantillons SpyNote, qui stockent des informations C2, ainsi que des noms saisis par les utilisateurs, des numéros de version, et d’autres données, dans res/values/strings.xml. Dans les fichiers strings.xml de ces applications, 22 APKs référencent “Allosh”, un nom de code précédemment utilisé en lien avec un membre identifié de la Syrian Electronic Army.

Des chaînes apparaissant par le passé dans d’autres malwares associés à la Syrian Electronic Army contiennent ce nom, telles que “c :\users\allosh hacker\documents\visual studio 2012\Projects\allosh\allosh\obj\Debug\Windows.pdb” mentionné dans le rapport du Citizen Lab[2] sur le repackaging malveillant par la SEA de l’outil de contournement Psiphon 3, et “c :\Users\Allosh Hacker\Desktop\Application\obj\Debug\Clean Application.pdb” dans des ‘paths pdb’ découverts dans des binaires associés avec l’infrastructure SilverHawk.

Copie d’écran d’un fichier strings.xml, et tous les noms de code uniques découverts dans cette campagne.

La Syrian Electronic Army a témoigné d’activités récentes, l’un de ses comptes Twitter ayant revendiqué ce mois-ci la responsabilité d’attaques DDoS contre des médias belges, ainsi que le piratage des sites web PayPal et eBay à une date aussi récente que le 7 avril 2020.[3]

Deux des revendications les plus récentes de @Official_SEA7, l’un des multiples comptes Twitter de la Syrian Electronic Army, actif depuis 2013.

Les autorités syriennes sont connues pour censurer largement le réseau Internet de leur pays, la Syrie étant classée 174ème dans l’Index 2019 de la Liberté de la Presse de Reporters sans Frontières.[4] De plus, selon le Rapport 2018 sur la Liberté du Net publié par Freedom House, une ONG qui réalise des recherches et promeut la démocratie, la liberté politique et les droits de l’homme, “Dans les zones contrôlées par le gouvernement, le Syrian Telecommunications Establishment (STE) sert à la fois d’ISP et de régulateur des télécommunications, offrant au gouvernement un contrôle strict de l’infrastructure Internet. Par ailleurs, les fournisseurs d’accès Internet sur lignes fixes et mobiles doivent signer un protocole d’accord pour se connecter au réseau Internet mondial via des passerelles contrôlées par la Syrian Information Organization (SIO).”[5]

Découverte initiale

Cette enquête a débuté avec la découverte d’une application (3c5fd8b163b32cde47dd50c4b61ab087c0cad8d4) appelée “Covid19”, un malware AndoServer qui a été signé et packagé le 28 mars 2020.

A l’ouverture, cette application demande à installer une application nommée “قياس درجة” (Mesure de Température), et demande la permission de prendre des photos, des vidéos, et de modifier ou d’effacer des contenus sur la carte SD avant de supprimer sa propre icône de lancement.

Après l’installation, l’application originale Covid19 cache son icône et affiche uniquement l’application Mesure de Température nouvellement installée.

L’application nouvellement installée (com.finger.body.temperature.ap) est un canular bénin – un faux thermomètre digital qui agit comme un leurre. Dans le même temps, le malware continue de fonctionner en tâche de fond.

L’utilisateur appuie sur l’empreinte digitale sur l’écran et est informé que la température de son corps est de 35o C.

Certains échantillons AndoServer sont purement des malwares de surveillance et ne prétendent pas faire autre chose, alors que d’autres, comme cet échantillon ici, contiennent des applications légitimes à l’intérieur du malware, avec l’APK bénin caché dans le dossier res/raw.

Les échantillons AndoServer reçoivent des commandes, et sont capables de :
● Prendre une copie d’écran
● Contrôler les niveaux de batterie et si le mobile est branché
● Enregistrer la localisation (latitude et longitude)
● Dresser une liste des applications installées
● Lancer une application spécifiée par l’acteur malveillant
● Vérifier le nombre d’appareils photo sur le mobile
● Choisir quel appareil photo accéder
● Créer un message spécifique en pop-up (toast)
● Enregistrer la voix
● Créer un fichier sur un stockage externe
● Exfiltrer les logs d’appels
● Lister les fichiers contenus dans un répertoire spécifique
● Appeler un numéro de téléphone
● Exfiltrer des messages SMS
● Envoyer des SMS à un numéro de téléphone
● Exfiltrer la liste de contacts
● Déclencher une sonnerie puis se mettre en veille

Les malwares AndoServer ont leur domaine C2 ou leur adresse IP cryptés dans le code source. Chaque échantillon a aussi sa propre chaîne unique d’identification au départ de ses communications avec les serveurs C2, qui semble permettre à l’acteur de contrôler quelle application dans son arsenal est responsable de l’attaque, lequel peut ainsi voir l’application spécifique installée par chaque victime. Bien que ce ne soit pas toujours le cas, quelques identifiants uniques sont identiques au nom du domaine C2, alors que dans d’autres cas ils font référence au titre de l’application, soulignant un autre niveau de sophistication de ce malware.

Prévalence des malwares de surveillance en vente libre

Parmi les applications malveillantes dans cette campagne, 64 des 71 sont des échantillons SpyNote, une famille bien connue de malwares de surveillance en vente libre. Les applications restantes appartiennent aux familles SandroRat, AndoServer et SLRat, les deux dernières d’entre elles n’ayant pas encore été décrites publiquement.

SLRat semble avoir acquis une certaine popularité depuis son lancement en mai 2016, son développeur l’ayant décrit comme “le meilleur outil gratuit d’administration à distance sous Android”, alors que AndoServer n’a pas encore été vu en vente ni mentionné sur des forums publics. Toutefois sur la base des échantillons diffusés à ce jour, les analystes de Lookout pensent qu’il s’agit aussi d’un malware Android personnalisable qui peut être en vente libre, ou simplement connu et utilisé par un groupe d’acteurs plus petit.

Etant donnée la censure exercée par la Syrie et ses campagnes passées de surveillance des mobiles et des ordinateurs, l’existence d’une nouvelle campagne active n’est pas surprenante. Les acteurs SilverHawk sont entré initialement dans le domaine du malware mobile en utilisant le malware de surveillance Android en vente libre AndroRat, avant de le personnaliser puis de développer leurs propres outils mobiles. Il est cohérent avec des TTPs connus qu’un nouvel outil d’espionnage en vente sur le Net ait été adopté et utilisé par cet acteur dans le cadre de nouvelles opérations de surveillance, et d’autres seront probablement découverts.

Lookout collecte des échantillons de malwares des familles AndoServer et SJRat depuis 2016, et a constaté un pic d’activité à la fin de l’année 2019.


[1] https://www.refworld.org/docid/5be1...

[2] https://citizenlab.ca/2014/03/malic...

[3] https://twitter.com/Official_SEA7/s...

[4] https://rsf.org/en/syria

[5] https://www.justice.gov/eoir/page/f...




Voir les articles précédents

    

Voir les articles suivants