Chevaux de Troie pour Android diffusés par messages non sollicités

D’après les informations de SecureWorks, le cheval de Troie Stels multifonctionnel qui tourne sous Android est diffusé avec une modification p2p de ZeuS dans le cadre d’une campagne unique avec la participation du réseau de zombies Cutwail.

Les messages malveillants détectés par les spécialistes imitent une notification de l’IRS (fisc américain) et portent sur la dernière étape de l’envoi de la déclaration d’impôts dans ce pays. Les individus malintentionnés indiquent au destinataire que les documents renvoyés contiennent des erreurs et invitent le destinataire à cliquer sur un lien pour utiliser un autre formulaire. 

L’utilisateur qui clique sur ce lien arrive sur une ressource compromise qui détermine le système d’exploitation du visiteur ainsi que le navigateur utilisé. Si la visite s’opère depuis un appareil mobile sous Google Android, la victime voit une page qui propose une mise à jour de Flash Player afin de pouvoir afficher le contenu. Le fichier exécutable flashplayer.android.update.apk qui contient le cheval de Troie Stels est téléchargé sur le smartphone. L’utilisateur doit autoriser son installation et de plus, dans la mesure où l’application n’est pas téléchargée depuis le magasin officiel Google Play, il doit autoriser l’installation depuis une source inconnue dans les paramètres de sécurité, à savoir autoriser l’installation d’une application en provenance d’une source tierce.

Si le destinataire du faux message utilise Microsoft IE, Mozilla Firefox ou Opera, une fois qu’il a cliqué sur le lien, il arrive sur une fausse page du site de l’IRS contenant un iframe malveillant qui le redirige vers une ressource hébergeant le kit de codes d’exploitation Blackhole. Qui plus est, tous les liens de cette page exécute un pdf malveillant qui attaque la vulnérabilité CVE-2010-0188 dans Adobe Reader/Acrobat. Si l’exploitation réussit, une version p2р de ZeuS, connue sous le nom de Gameover, est téléchargée sur l’appareil de la victime. Si l’utilisateur n’utilise ni Android, ni un des navigateurs cités, il est redirigé vers un site d’escroquerie de recherche d’emploi.

Les spécialistes de SecureWorks ont analysé des échantillons de Stels et ont conclu que ce cheval de Troie pour Android est capable de voler des informations de la liste des contacts de la victime, d’envoyer et d’intercepter des SMS, de réaliser des appels vers des numéros surtaxés et de télécharger et exécuter d’autres fichiers malveillants. Il fonctionne en arrière-plan, communique avec le centre d’administration via HTTP et tout semble indiquer qu’il est également capable de diffuser des messages non sollicités par courrier via le service proxy anonyme anonymouse.org. Les spécialistes ont découvert d’autres intercepteurs de SMS dont le code évoque celui de Stels et ils supposent qu’ils proviennent tous de la même source ou qu’ils ont tous été créés à l’aide du même toolkit. 

Il convient de signaler que la diffusion de messages non sollicités est un mode de propagation inhabituel pour les programmes malveillants Android qui, en général, sont téléchargés depuis des magasins d’applications non officiels. Ainsi, les versions les plus anciennes de Stels, détectées par les experts de F-Secure à la fin de l’année dernière, étaient diffusées depuis le portail spaces.ru sous la forme de jeux gratuits ou d’utilitaires pour Android.

Stels Android Trojan Malware Analysis

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *