Going Rogue - le cerveau derrière le malware Android revient avec un nouveau RAT

Aujourd'hui plus que jamais, nous comptons sur nos smartphones pour rester en contact avec notre travail, nos familles et le monde qui nous entoure.  Il y a plus de 3,5 milliards d'utilisateurs de smartphones dans le monde, et on estime que plus de 85 % de ces appareils - environ 3 milliards - fonctionnent avec le système d'exploitation Android. Il n'est donc pas surprenant que les criminels et les acteurs de la menace ciblent activement cette vaste base d'utilisateurs à leurs propres fins malveillantes, qu'il s'agisse d'essayer de voler les données et les informations d'identification des utilisateurs, de créer des logiciels malveillants, des logiciels espions ou des logiciels de rançon, etc.

 

Toutefois, du point de vue des acteurs de la menace, prendre pied sur les téléphones portables des victimes est un défi en constante évolution, car les fonctions de sécurité intégrées de certains téléphones et l'accès contrôlé aux applications officielles telles que Google Play offrent une certaine protection aux utilisateurs. Cela signifie que les agresseurs potentiels doivent développer des vecteurs d'infection mobiles nouveaux et innovants, et utiliser et affiner de nouvelles compétences et techniques pour contourner les protections de sécurité et placer des applications malveillantes dans les magasins d'applications officiels.

 

Check Point Research (CPR) a récemment rencontré un réseau de développement de logiciels malveillants mobiles Android sur le Dark Net. Cette découverte a piqué l’intérêt de Check Point, car elle était extraordinaire, même selon les normes du Dark Net. Les chercheurs de CPR ont décidé d'approfondir leurs recherches pour en savoir plus sur l'acteur de la menace derrière le réseau, ses produits et le modèle commercial qui se cache derrière le ciblage malveillant des appareils mobiles Android.

 

Un voyage dans le Dark Net

Nous avons suivi l'activité de l'acteur de la menace, surnommé "Triangulum", dans plusieurs forums de darknet. "Triangulum" en latin signifie "triangle" - et le terme est couramment utilisé en relation avec la galaxie Triangulum, située à près de 3 millions d'années-lumière de la Terre. Tout comme il est difficile de trouver la galaxie Triangulum dans le ciel nocturne, il est difficile de trouver des traces du travail de l'acteur Triangulum. Cependant, nous avons vite découvert qu'une fois qu'on l'a repéré, il est relativement facile à suivre.

 

Au cours des deux dernières années, Triangulum a fait preuve d'une courbe d'apprentissage impressionnante. Il a évalué les besoins du marché, développé un réseau de partenariats, réalisé des investissements et distribué des logiciels malveillants à des acheteurs potentiels. Triangulum a commencé son parcours au début de 2017 en rejoignant les forums de piratage dans le Dark Net. Au départ, Triangulum a fait preuve de certaines compétences techniques en procédant à la rétro-ingénierie des logiciels malveillants, mais une analyse plus approfondie de ces premiers efforts a révélé qu'il était un développeur amateur. 

Lancement du premier produit

Le 10 juin 2017, Triangulum nous a fourni le premier aperçu d'un produit qu'il a développé.

Le produit était un RAT (Remote Access Trojan) mobile, ciblant les appareils Android et capable d'exfiltrer des données sensibles d'un serveur C&C, détruisant les données locales - et parfois même effaçant tout le système d'exploitation.

 

Quatre mois plus tard, Triangulum a mis en vente son premier logiciel malveillant. Il a ensuite disparu pendant environ un an et demi, sans aucun signe évident d'activité sur le Dark Net, pour refaire surface le 6 avril 2019 avec un autre produit à vendre. Depuis lors, il a été très actif, faisant la publicité de différents produits sur une période de six mois. Il semble que Triangulum ait créé une chaîne de production très performante pour le développement et la distribution de logiciels malveillants pendant son absence du Dark Net. 

 

Partenaires dans la criminalité (mobile)

Une enquête plus approfondie a permis de découvrir des preuves que Triangulum collaborait avec un autre acteur de la menace nommé "HexaGoN Dev", qui était spécialisé dans le développement de logiciels malveillants pour Android OS - en particulier, les RAT.

 

Dans le passé, Triangulum avait acheté plusieurs projets créés par "HeXaGoN Dev". La combinaison des compétences en programmation de HeXaGon Dev et des compétences en marketing social de Triangulum constituait clairement une menace légitime. Triangulum et HeXaGoN Dev ont produit et distribué de multiples variantes de logiciels malveillants pour Android, notamment des cryptominateurs, des enregistreurs de frappe et des MRAT P2P (Phone to Phone) sophistiqués.

 

Lancement d'un tout nouveau logiciel malveillant – « Rogue »

Triangulum et HeXaGoN Dev ont ensuite collaboré pour créer et introduire le logiciel malveillant Rogue sur le réseau noir. Rogue fait partie de la famille MRAT (Mobile Remote Access Trojan). Ce type de logiciel malveillant peut prendre le contrôle de l'appareil hôte et exfiltrer tout type de données, telles que des photos, l'emplacement, les contacts et les messages, pour modifier les fichiers sur l'appareil et télécharger des charges utiles malveillantes supplémentaires. 

 

Lorsque Rogue parvient à obtenir toutes les autorisations requises sur l'appareil ciblé, il cache son icône à l'utilisateur de l'appareil pour s'assurer qu'il ne sera pas facile de s'en débarrasser. Si toutes les autorisations requises ne sont pas accordées, il demandera à plusieurs reprises à l'utilisateur de les accorder.

 

Le logiciel malveillant s'enregistre alors en tant qu'administrateur de l'appareil. Si l'utilisateur tente de révoquer l'autorisation de l'administrateur, un message à l'écran conçu pour semer la terreur dans le cœur de l'utilisateur apparaît : "Etes-vous sûr d'effacer toutes les données ?"

 

Rogue adopte les services de la plateforme Firebase, un service Google pour les applications, pour dissimuler ses intentions malveillantes et se faire passer pour un service Google légitime. Il utilise les services de Firebase comme un serveur C&C (commande et contrôle), de sorte que toutes les commandes qui contrôlent le malware et toutes les informations volées par le malware sont livrées en utilisant l'infrastructure de Firebase. Google Firebase intègre des dizaines de services pour aider les développeurs à créer des applications mobiles et web.

 Le logiciel malveillant Rogue utilise les services suivants :

- "Cloud Messaging" pour recevoir des commandes du C&C.

- "Base de données en temps réel" pour télécharger des données à partir de l'appareil.

- "Cloud Firestore" pour télécharger des fichiers.

 

Conclusion =

Dans cette recherche, le CPR a découvert un marché pleinement actif qui vend des logiciels malveillants mobiles, vivant et prospérant sur le réseau noir et d'autres forums web connexes. L'histoire du logiciel malveillant Rogue est un exemple de la manière dont les appareils mobiles peuvent être exploités. Tout comme Triangulum, d'autres acteurs de la menace perfectionnent leur art et vendent des logiciels malveillants mobiles sur le Dark Web. Nous devons donc rester vigilants face aux nouvelles menaces qui se profilent à l'horizon et comprendre comment nous en protéger.

 

Conseils pour rester protégé contre les logiciels malveillants sur smartphones

Les cybercriminels sont bien conscients du rôle vital que jouent les appareils mobiles dans la vie des gens, et de la valeur des données personnelles et professionnelles et des justificatifs d'identité qui sont stockés sur ces appareils. Le paysage des menaces mobiles évolue rapidement, et les logiciels malveillants mobiles constituent une menace importante pour la sécurité des personnes et des entreprises.

Les appareils mobiles présentent une surface de menace différente de celle des terminaux traditionnels. Pour sécuriser ces appareils, il faut suivre les meilleures pratiques de sécurité spécifiques aux mobiles :

-       Des mises à jour régulières du système d'exploitation sont essentielles. Les appareils mobiles doivent toujours être mis à jour avec la dernière version du système d'exploitation afin de se prémunir contre l'exploitation des vulnérabilités liées à l'escalade des privilèges.

-       N'installez que des applications provenant de magasins d'applications officiels. L'installation d'applications uniquement à partir de magasins d'applications officiels réduit la probabilité d'une installation involontaire de logiciels malveillants mobiles ou d'une application malveillante.

-       Activez la fonction de "nettoyage à distance" sur tous les appareils mobiles. Tous les appareils doivent être dotés d'une fonction de suppression à distance afin de minimiser la probabilité de perte de données sensibles.

-       Ne faites pas confiance aux réseaux Wi-Fi publics. Les réseaux Wi-Fi publics peuvent fournir à un attaquant un pont vers un appareil, ce qui facilite la réalisation d'attaques de type "man-in-the-middle" (MitM) et autres. En limitant les appareils mobiles aux réseaux Wi-Fi et mobiles de confiance, on réduit leur exposition aux cybermenaces.

 L'utilisation d'une solution mobile de défense contre les menaces est essentielle.  Nous recommandons de déployer une solution de sécurité mobile d'entreprise avec un antivirus intégré et des capacités de détection des menaces.

Pour tous les détails techniques de cette recherche, visitez le site : https://research.checkpoint.com