Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Un logiciel espion Android déguisé en mise à jour Google Chrome

mai 2016 par Zscaler

Dans son nouvel article de blog, l’équipe de recherche en sécurité de Zscaler a détecté une activité importante dans le cloud liée à un malware voleur d’information « infostealer » se déguisant en mise à jour de Google Chrome. Ce malware est capable de récupérer l’historique des appels, les données SMS, l’historique de navigation ainsi que les informations bancaires, pour les envoyer à un serveur C&C. Il est, par ailleurs, à même de détecter les antivirus installés et de les neutraliser pour éviter d’être repéré.

Ci-dessous, des exemples d’URL où le malware pouvait être téléchargé.
· http[ :]//ldatjgf[.]goog-upps.pw/ygceblqxivuogsjrsvpie555/
· http[ :]//iaohzcd[.]goog-upps.pw/wzbpqujtpfdwzokzcjhga555/
· http[ :]//uwiaoqx[.]marshmallovw.com/
· http[ :]//google-market2016[.]com/
· http[ :]//ysknauo[.]android-update17[.]pw/
· http[ :]//ysknauo[.]android-update16[.]pw/
· http[ :]//android-update15[.]pw/
· http[ :]//zknmvga[.]android-update15[.]pw/
· http[ :]//ixzgoue[.]android-update15[.]pw/
· http[ :]//zknmvga[.]android-update15[.]pw/
· http[ :]//gpxkumv.web-app.tech/xilkghjxmwvnyjsealdfy666/

Il est aisé de remarquer que le générateur de ce logiciel utilise des noms de domaines se rapprochant de ceux que l’on peut retrouver lors de mises à jour Google. Ces URL ont une durée de vie limitée et sont régulièrement remplacées par de nouvelles afin d’éviter des filtrages de virus par URL.

Le fichier téléchargé à partir de ces adresses s’appelle “Update_chrome.apk”. Une fois installé, il demande un accès administrateur, comme illustré ci-dessous.

Accès en tant qu’administrateur

Accès administrateur

Ce malware est capable de vérifier quelles applications de sécurité – du type Kaspersky, ESET, Avast and Dr. Web, sont installées.

Vérification d’antivirus

Le malware enregistre ensuite l’appareil sur son serveur C&C.

Code - Inscription de l’appareil infecté sur le serveur C&C

Sur le réseau – Inscription de l’appareil infecté sur le serveur C&C

Lorsque cette étape est passée, le malware surveille les SMS et appels entrants et sortants. Il est également capable de mettre fin à des appels entrants si l’appel est masqué ou provient d’un utilisateur inconnu.

Code - Fin d’appel

La capture d’écran suivante montre le malware envoyant des SMS volés au serveur C&C.

Code – Récupération de SMS et envoi au serveur C&C

L’infostealer présente de fausses pages de paiement pour la majorité des cartes de crédit lorsque l’utilisateur tente de se connecter au Play Store. Cette page ne s’affiche que si l’application Play Store est installée.

Fausse page de paiement
Lorsque l’utilisateur fournit les informations demandées, le malware les envoie à un numéro de téléphone russe (+7926XXXX135). Voir ci-après.

Code – Envoi des données de cartes à un numéro russe
C&C URL :
· http[ :]//varra.top/tapas/gtgtr[.]php

Il est à noter que la page de paiement a crashé sur plusieurs des devices utilisés lors des tests. Ceci peut être du à un bug dans la version du malware téléchargée et analysée. Des tests plus poussés sont en cours.

Un nombre important de nouvelles URL pour ce malware sont accessibles sue le web. Une infection par cet infostealer constitue, pour l’utilisateur, une brèche de données sensibles. De plus, une fois présent sur le terminal, il ne peut être désinstallé car il n’est pas possible de lui retirer ses privilèges d’administrateur. Le seul moyen de s’en débarrasser est de réinitialiser son appareil, ce qui implique une perte de données encore plus importante.


Voir les articles précédents

    

Voir les articles suivants