Actualités de la sécurité

Le cheval de Troie Android SMSFactory entraîne des coûts élevés pour les victimes

Jakub Vávra 2 juin 2022

Avast a protégé plus de 165 000 personnes de ce malware dans le monde en un an.

Avast a suivi une vaste campagne de malwares du cheval de Troie SMS, que nous avons appelé SMSFactory. SMSFactory siphonne sournoisement l'argent de ses victimes dans le monde entier, notamment en Russie, au Brésil, en Argentine, en Turquie, en Ukraine, aux États-Unis, en France et en Espagne, en envoyant des SMS surtaxés et en passant des appels vers des numéros de téléphone surtaxés. Ces numéros semblent faire partie d'un système de conversion, où le SMS comprend un numéro de compte, identifiant la personne qui doit recevoir l'argent pour les messages envoyés. Sans être détecté, ce système peut faire grimper la facture de téléphone jusqu'à 7 dollars (6,54€) par semaine ou 336 dollars (313,81€) par an, laissant une mauvaise surprise aux victimes. Une version que nous avons trouvée est également capable d'extraire les listes de contacts des victimes, ce qui permet de propager davantage le malware.

Nous avons surnommé le malware SMSFactory en raison de ses fonctions, ainsi que des noms de classe dans son code, dont l'un s'appelle SMSFactory.

D'après nos recherches, le malware se propage par le biais de malvertising, de notifications push et d'alertes affichées sur des sites proposant des hacks de jeux, des contenus pour adultes ou des sites de streaming vidéo gratuits, servant le malware déguisé en une application dans laquelle les utilisateurs peuvent accéder à des jeux, des vidéos ou des contenus pour adultes. Une fois installé, le logiciel malveillant se dissimule, rendant presque impossible pour les victimes de détecter ce qui est à l'origine des frais sur leurs factures de téléphone.

Une série de sites Web ont été mis en place dans le but de diffuser et de contrôler à distance le malware. Avast a protégé plus de 165 000 utilisateurs Avast contre SMSFactory au cours de l'année écoulée (mai 2021-mai 2022), le plus grand nombre d'utilisateurs protégés se trouvant en Russie, au Brésil, en Argentine, en Turquie et en Ukraine.

Envoi silencieux de $ignaux

Les acteurs malveillants qui se cachent derrière SMSFactory s'appuient sur le malvertising pour mener leur campagne. Le malvertising désigne l'utilisation abusive de publicités pour rediriger les utilisateurs vers des sites contenant des charges utiles de logiciels malveillants. Il apparaît souvent sur des sites web proposant des films et des émissions de télévision en streaming gratuit, des contenus pour adultes ou des agrégateurs de torrents, mais peut aussi apparaître occasionnellement sur des sites grand public.

Dans ce cas, la redirection mène à un site Web tel que celui de la capture d'écran ci-dessous. L'utilisateur est invité à télécharger un fichier qui ressemble au site à partir duquel il a été redirigé. Il peut s'agir, par exemple, d'une application de piratage de jeux, d'une application de contenu pour adultes, d'une application de streaming vidéo gratuit ou d'une application similaire.

Rediriger la page de destination avec un nom dynamique visible dans le coin supérieur droit.

Exemples de noms différents pour la même application SMSFactory


Une fois que l'utilisateur a cliqué sur Télécharger, l'application malveillante est téléchargée. Comme elle provient d'une source tierce, le site Web invite l'utilisateur à ignorer l'avertissement Play Protect intégré à Android et à poursuivre l'installation.

 

Captures d'écran montrant comment SMSFactory demande à l'utilisateur de désactiver/ignorer Play Protect afin d'installer le malware.

Une fois installé, l'utilisateur est accueilli par un écran de bienvenue. En cliquant sur "Accepter", il active le comportement malveillant de l'application. L'application présente ensuite à l'utilisateur un menu de base composé de vidéos, de contenus pour adultes et de jeux qui ne fonctionnent pas ou ne sont pas disponibles la plupart du temps.

Exemple d'une application SMSFactory après installation


Que l'on soit prêt ou non, voici la facture !

SMSFactory utilise plusieurs astuces pour rester sur l'appareil de la victime et ne pas être détecté. Son icône est vide et il est capable de cacher sa présence à l'utilisateur en supprimant l'icône de son application de l'écran d'accueil. De plus, il n'a pas de nom d'application, ce qui rend plus difficile pour l'utilisateur de découvrir l'application incriminée et de la supprimer. Il est évident que le malware compte sur le fait que l'utilisateur oublie l'application sur son téléphone.

Une icône vierge et l'absence de nom d'application sont utilisées pour dissimuler les applications.

Une fois caché, le logiciel malveillant communique avec un domaine prédéfini. Il envoie un identifiant unique attribué à l'appareil, sa localisation, son numéro de téléphone, des informations sur l'opérateur et le modèle du téléphone. Si les acteurs derrière cette campagne estiment que l'appareil de la victime est utilisable, le domaine renvoie des instructions à l'appareil. Il s'agira soit d'une liste de numéros de téléphone auxquels le logiciel malveillant enverra des SMS surtaxés, soit d'un numéro spécifique que l'application tentera d'appeler. Dans les deux cas, la victime devra payer des frais excessifs. Le montant exact dépend de la commande envoyée par les acteurs derrière SMSFactory. Lors de nos tests, nous avons constaté que 10 SMS envoyés coûtaient 1 dollar par jour, ce qui peut représenter 28 dollars (26,15€) par mois. En supposant que les victimes ne remarquent pas ou oublient que l'application est installée, cela peut entraîner une facture de téléphone exorbitante.

Ci-dessus, vous trouverez une partie des autorisations utilisées par SMSFactory. Les autorisations SMS/MMS ainsi que CALL_PHONE sont utilisées pour détourner l'argent des victimes en envoyant des messages et en passant des appels vers des numéros surtaxés.

En raison de la nature du malware, l'utilisateur peut ignorer le préjudice financier jusqu'à ce qu'il reçoive sa facture de téléphone. SMSFactory peut accumuler des frais importants dans l'intervalle et il peut être difficile pour l'utilisateur d'identifier le coupable, car l'application se cache.


Différentes versions de Factory

SMSFactory semble également disposer de plusieurs versions différentes dotées de fonctionnalités supplémentaires, qui sont apparues parallèlement à cette récente campagne. L'une de ces variantes peut créer un nouveau compte administrateur sur l'appareil Android, ce qui le rend potentiellement difficile à supprimer. Une autre variante copie la liste de contacts de la victime et l'extrait, probablement pour l'utiliser à des fins de propagation du malware. Certaines versions redirigent les utilisateurs vers des sites afin de les inciter à installer une autre application SMSFactory sur leur appareil.

Seuls quelques échantillons de SMSFactory contiennent une courte page " Conditions ".

Il existe également des différences visuelles entre ces versions de SMSFactory. Les anciennes versions qui se présentaient comme des hacks de jeux avaient une icône, tandis que les versions plus récentes suppriment complètement l'icône et le nom de l'application. Les termes et conditions de la capture d'écran ci-dessus, mentionnant les SMS/appels premiums en arrière-plan, ne sont présents que dans une seule version du malware que j'ai trouvée, les autres versions n'incluent pas du tout cette information.


Ce qui rend SMSFactory unique

Contrairement aux récentes campagnes de TrojanSMS telles que UltimaSMS ou Grifthorse, le vecteur de propagation de SMSFactory varie considérablement. Ses caractéristiques de furtivité, telles que l'absence d'icône et de nom d'application, ne seraient pas autorisées sur le Google Play Store. Les mauvais acteurs ont donc eu recours à un réseau relativement complexe de sites pour la diffusion et la communication ultérieure avec le malware.

Une autre différence est l'écran d'introduction qui ne nécessite pas la saisie d'un numéro de téléphone pour lancer les fonctions du malware, contrairement aux précédents malwares SMS premium. Alors que les campagnes précédentes de TrojanSMS abonnent la victime à des services premium, SMSFactory envoie simplement des SMS à des numéros premium pour lui soutirer de l'argent.


Utilisateurs touchés

Malgré son absence sur le Play Store, selon nos données, nous avons protégé plus de 165 000 utilisateurs d'Avast contre ce malware au cours de la seule année dernière. Comme en témoigne le nombre élevé d'utilisateurs touchés et l'apparition récente de nouvelles versions, on peut affirmer que SMSFactory est un malware actif et qu'il est susceptible de continuer à se propager.

Carte indiquant le nombre d'utilisateurs d'Avast protégés par SMSFactory au cours de l'année écoulée (20.05.21 - 20.05.22)

Comme on peut le voir sur la carte ci-dessus, les régions dans lesquelles nous avons protégé le plus d'utilisateurs Avast contre SMSFactory au cours de l'année dernière sont situées en Russie, au Brésil, en Argentine, en Turquie et en Ukraine. Il semble que SMSFactory ne cible pas une région ou un pays en particulier, son objectif est de se propager à un maximum d'appareils.

Conseils pour éviter les logiciels malveillants mobiles, comme SMSFactory

  • Utilisez les magasins d'applications officiels. SMSFactory souligne l'importance d'utiliser des magasins d'applications vérifiés pour installer des applications. Les magasins tiers ou les sources inconnues peuvent contenir des logiciels malveillants et ne sont pas bloqués par une autorité telle que Google.
  • Installez un antivirus sur votre appareil mobile. C'est particulièrement important si vous souhaitez installer des applications provenant de sources non officielles. Vous pouvez également être protégé des sites web malveillants de cette manière. L'antivirus agit comme un filet de sécurité, protégeant même les utilisateurs les plus prudents.
  • Restez vigilant. Il est important de rester prudent lorsque vous téléchargez de nouvelles applications, en particulier des applications dont la publicité est faite dans des vidéos courtes et accrocheuses, ou par le biais de notifications push dans le navigateur.
  • Désactivez ou limitez les SMS surtaxés auprès de votre opérateur. Bien que les SMS surtaxés aient des utilisations légitimes, les récentes campagnes de logiciels malveillants par SMS soulignent l'importance du contrôle des frais potentiels sur le contrat téléphonique d'un utilisateur. La désactivation des fonctions de SMS surtaxés, ou du moins la fixation d'une limite, réduit considérablement l'impact potentiel des campagnes de TrojanSMS. Cette mesure est particulièrement importante pour les téléphones des enfants.

Téléchargez Avast One Gratuitement

 

Vous voulez en savoir plus ? Explorez la liste des indicateurs de compromission de SMS Factory