Infos

Chevaux de Troie pour Android diffusés par messages non sollicités

D’après les informations de SecureWorks, le cheval de Troie Stels multifonctionnel qui tourne sous Android est diffusé avec une modification p2p de ZeuS dans le cadre d’une campagne unique avec la participation du réseau de zombies Cutwail.

Les messages malveillants détectés par les spécialistes imitent une notification de l’IRS (fisc américain) et portent sur la dernière étape de l’envoi de la déclaration d’impôts dans ce pays. Les individus malintentionnés indiquent au destinataire que les documents renvoyés contiennent des erreurs et invitent le destinataire à cliquer sur un lien pour utiliser un autre formulaire. 

L’utilisateur qui clique sur ce lien arrive sur une ressource compromise qui détermine le système d’exploitation du visiteur ainsi que le navigateur utilisé. Si la visite s’opère depuis un appareil mobile sous Google Android, la victime voit une page qui propose une mise à jour de Flash Player afin de pouvoir afficher le contenu. Le fichier exécutable flashplayer.android.update.apk qui contient le cheval de Troie Stels est téléchargé sur le smartphone. L’utilisateur doit autoriser son installation et de plus, dans la mesure où l’application n’est pas téléchargée depuis le magasin officiel Google Play, il doit autoriser l’installation depuis une source inconnue dans les paramètres de sécurité, à savoir autoriser l’installation d’une application en provenance d’une source tierce.

Si le destinataire du faux message utilise Microsoft IE, Mozilla Firefox ou Opera, une fois qu’il a cliqué sur le lien, il arrive sur une fausse page du site de l’IRS contenant un iframe malveillant qui le redirige vers une ressource hébergeant le kit de codes d’exploitation Blackhole. Qui plus est, tous les liens de cette page exécute un pdf malveillant qui attaque la vulnérabilité CVE-2010-0188 dans Adobe Reader/Acrobat. Si l’exploitation réussit, une version p2р de ZeuS, connue sous le nom de Gameover, est téléchargée sur l’appareil de la victime. Si l’utilisateur n’utilise ni Android, ni un des navigateurs cités, il est redirigé vers un site d’escroquerie de recherche d’emploi.

Les spécialistes de SecureWorks ont analysé des échantillons de Stels et ont conclu que ce cheval de Troie pour Android est capable de voler des informations de la liste des contacts de la victime, d’envoyer et d’intercepter des SMS, de réaliser des appels vers des numéros surtaxés et de télécharger et exécuter d’autres fichiers malveillants. Il fonctionne en arrière-plan, communique avec le centre d’administration via HTTP et tout semble indiquer qu’il est également capable de diffuser des messages non sollicités par courrier via le service proxy anonyme anonymouse.org. Les spécialistes ont découvert d’autres intercepteurs de SMS dont le code évoque celui de Stels et ils supposent qu’ils proviennent tous de la même source ou qu’ils ont tous été créés à l’aide du même toolkit. 

Il convient de signaler que la diffusion de messages non sollicités est un mode de propagation inhabituel pour les programmes malveillants Android qui, en général, sont téléchargés depuis des magasins d’applications non officiels. Ainsi, les versions les plus anciennes de Stels, détectées par les experts de F-Secure à la fin de l’année dernière, étaient diffusées depuis le portail spaces.ru sous la forme de jeux gratuits ou d’utilitaires pour Android.

Stels Android Trojan Malware Analysis

Chevaux de Troie pour Android diffusés par messages non sollicités

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception