Diffusion du cheval de Troie Obad.a : l’heure est aux réseaux de zombies mobiles

A la fin du mois de mai, nous évoquions les capacités et les caractéristiques de Backdoor.AndroidOS.Obad.a, le cheval de Troie pour appareil mobile le plus dangereux. Toutefois nous ne disposions à l’époque de pratiquement aucune donnée sur la manière dont ce programme malveillant infectait les appareils mobiles. Pour combler cette lacune d’informations, nous avons étudié pendant près de trois mois les canaux de diffusion de Backdoor.AndroidOS.Obad.a et nous nous sommes rendus compte que les propriétaires de ce cheval de Troie n’utilisent pas que des astuces connues. Ils ont été les premiers à exploiter les possibilités de réseaux de zombies créés à l’aide d’autres programmes malveillants pour appareils mobiles pour propager leur propre cheval de Troie.

A ce jour, nous avons identifié 4 méthodes principales de diffusion de diverses versions de Backdoor.AndroidOS.Obad.a.

Réseau de zombies d’appareils mobiles

Le cas qui a le plus capté notre attention fut la propagation de Obad.a avec un autre cheval de Troie pour appareil mobile baptisé Trojan-SMS.AndroidOS.Opfake.a. Nous vous avions déjà présenté ce programme malveillant dans le billet intitulé "GCM dans des applications malveillantes" La tentative d’infection "en couple" débutait lorsque l’utilisateur recevait un SMS contenant le texte suivant :

"Vous avez reçu un MMS, ouvrir www.otkroi.com".

Si l’utilisateur cliquait sur le lien, un fichier nommé mms.apk et contenant Trojan-SMS.AndroidOS.Opfake.a était téléchargé automatiquement sur le smartphone ou la tablette. L’installation du programme malveillant avait lieu uniquement si l’utilisateur exécutait lui-même le fichier téléchargé. Dans ce cas, ce cheval de Troie pouvait envoyer, après l’infection, le SMS contenant le texte suivant à tous les contacts de la victime sur instruction du serveur de commande :

"Vous avez reçu un nouveau MMS, ouvrir http://otkroi.net/12"

L’utilisateur qui cliquait sur ce lien entraînait le téléchargement automatique de Backdoor.AndroidOS.Obad.a sous le nom de mms.apk ou de mmska.apk.

Les données que nous avons obtenues auprès d’un des opérateurs de téléphonie mobile russe qui a enregistré une diffusion massive de SMS malveillants sur son réseau témoignent de l’ampleur de l’activité des individus malintentionnés. Au cours d’une période de 5 heures, ses abonnés ont reçu plus de 600 SMS contenant un lien vers une des modifications de Trojan-SMS.AndroidOS.Opfake.a. Dans la majorité des cas, la diffusion des messages dangereux s’opérait depuis des appareils déjà infectés alors que les diffusions similaires antérieures se produisaient depuis des passerelles SMS. Tous les appareils infectés par Trojan-SMS.AndroidOS.Opfake.a ne diffusaient pas des liens vers Backdoor.AndroidOS.Obad.a, ce qui permet de supposer que les auteurs de ce dangereux cheval de Troie loue une partie du réseau de zombies pour diffuser leur création.

Cette version est confirmée par les graphiques des tentatives d’installation d’une version ou l’autre de Backdoor.AndroidOS.Obad.a bloquées par KIS for Android. La majorité de ces graphiques présente une brusque augmentation du nombre d’attaques :

 

une hausse soudaine du nombre de tentatives d’installation du cheval de Troie est caractéristique des versions Backdoor.AndroidOS.Obad.a diffusées via SMS non sollicités. Ces pics sont dus à l’utilisation de puissants réseaux de zombies tiers composés d’appareils mobiles infectés par d’autres programmes malveillants. Autrement dit, les propriétaires de Backdoor.AndroidOS.Obad.a obligent non seulement leur cheval de Troie à envoyer des SMS contenant des liens vers des copies du programme malveillants, mais ils exploitent également les capacités de chevaux de Troie gérés par d’autres individus malintentionnés.

 

SMS non sollicité traditionnel

Les individus malintentionnés utilisaient déjà cette méthode pour diffuser les toutes premières versions de Backdoor.AndroidOS.Obad.a, mais actuellement les messages non sollicités sont devenus la méthode principale pour propager le cheval de Troie sur les appareils mobiles. Ainsi, des individus malintentionnés se faisant passer pour DOLG.INFO ont diffusé un SMS contenant le texte suivant : 

"Vous devez de l’argent. Infos : http://dolzniki.info/1"

L’utilisateur qui cliquait sur ce lien téléchargeait automatiquement Backdoor.AndroidOS.Obad.a sur son appareil. Toutefois, l’installation du cheval de Troie requérait l’exécution du fichier téléchargé par l’utilisateur lui-même.

 Faux magasin Google Play

Une des méthodes privilégiées pour diffuser des chevaux de Troie pour appareils mobiles, y compris Backdoor.AndroidOS.Obad.a, consiste à placer les programmes malveillants dans de faux magasins d’applications. En règle générales, les créateurs de ces magasins copient le contenu des pages du magasin officiel Google Play mais remplacent les liens vers les applications par des liens malveillants. Les visiteurs peuvent arriver sans difficultés sur le faux site car ces pages figurent dans les résultats des moteurs de recherche.

 

Dans l’exemple que nous proposons, l’utilisateur est invité à télécharger et à installer un jeu pour appareil mobile très populaire mais au lieu du jeu, la victime télécharge un programme malveillant, dans ce cas Backdoor.AndroidOS.Obad.a. Dans le cadre de notre enquête, nous avons détecté deux sites utilisés pour diffuser des modifications de ce cheval de Troie : p1ay-goog1e.mobi et p1aygoog1e.com.

Redirection depuis des sites compromis

L’infection d’un site légitime dans le but de rediriger les visiteurs vers d’autres sites est une autre stratégie privilégiée par les individus malintentionnés. Dans la majorité des cas, la redirection s’opère à l’aide de modifications introduites dans le fichier .htaccess :

 

Dans des cas plus rares, du code malveillant est introduit dans les scripts JS du site :

 

Pour Backdoor.AndroidOS.Obad.a, les individus malintentionnés cherchent à infecter des utilisateurs d’appareils mobiles et pour cette raison, si la victime potentielle visite le site depuis son ordinateur à la maison, la redirection vers le site malveillant n’a pas lieu. Les propriétaires des appareils mobiles (quel que soit le système d’exploitation installé) peuvent voir une des pages suivantes :

 

Nous avons détecté plus de 120 sites compromis qui renvoient les utilisateurs d’appareils mobiles vers le site nbelt.ru qui présente des pages similaires. Il suffit à l’utilisateur de l’appareil mobile d’appuyer n’importe où sur la page ouverte pour télécharger Backdoor.AndroidOS.Obad.a.

Conclusion

Au cours de cette enquête qui aura duré presque trois mois , nous avons détecté 12 versions de Backdoor.AndroidOS.Obad.a. Elles possédaient toute une fonctionnalité similaire et se caractérisaient par un degré d’obfuscation élevé du code et l’exploitation d’une vulnérabilité dans Android qui permettait à l’individu malintentionné d’obtenir les privilèges DeviceAdministrator à l’insu de l’utilisateur, ce qui compliquait sérieusement la suppression. Nous avons pris contact avec Google dès la découverte de la vulnérabilité et celle-ci a été supprimée dans la version 4.3 d’Android. Malheureusement, cette version du système d’exploitation n’est disponible que pour un faible pourcentage des nouveaux smartphones et tablettes. Les appareils qui tournent sur les versions antérieures du système d’exploitation sont toujours menacées. Toutefois, la dernière version de  KIS for Android 11.1.4.106 est capable de supprimer  Backdoor.AndroidOS.Obad.a dans n’importe quelle version d’Android, que la vulnérabilité ait été exploitée ou non.

Nous avons également identifié les pays de la CEI comme principale zone d’action du cheval de Troie. 83 % des tentatives d’infection par Backdoor.AndroidOS.Obad.a ont été enregistrées en Russie. De plus, le cheval de Troie a été détecté sur des appareils mobiles d’utilisateurs en Ouzbékistan, au Kazakhstan, en Ukraine et en Biélorussie.

Les propriétaires de Backdoor.AndroidOS.Obad.a ont décidé de "battre le fer tant qu’il est chaud" et diffusent le programme malveillant à l’aide de voies traditionnelles ou innovantes. Pour la première fois, nous sommes en présence de chevaux de Troie pour appareils mobiles qui sont diffusés par réseaux de zombies mobiles. Cela signifie que les cybercriminels continuent d’adapter les modes d’infection des ordinateurs en fonction de leurs besoins et la menace que représente Backdoor.AndroidOS.Obad.a est toujours d’actualité.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *