Avast a découvert plusieurs téléchargeurs sur Google Play pouvant télécharger des malwares conçus pour voler des identifiants Facebook.
De nombreux téléchargeurs, des applications malveillantes qui téléchargent d'autres applications malveillantes sur des appareils infectés, ont fait leur apparition sur le Google Play Store.
Les téléchargeurs peuvent télécharger d'autres applications qui se présentent comme des applications système, dont certaines sont capables de voler les identifiants de connexion Facebook. Pour ce faire, les applications malveillantes utilisent des méthodes issues de l'ingénierie sociale afin de piéger leurs victimes.
Les applications de téléchargement originales que nous avons découvertes se présentent comme des applications de divertissement et de mode de vie, telles que des scanners de code-barres, des enregistreurs vocaux et même un jeu d'échecs, ciblant les utilisateurs d'Android anglophones et vietnamiens.
Nous avons également trouvé d'autres téléchargeurs proposés sur le Play Store par des développeurs différents qui ciblent spécifiquement les utilisateurs vietnamiens. Avast a signalé les applications à Google et les comptes des développeurs ont été bloqués.
Bien que les applications contiennent certaines des fonctionnalités dont elles font la promotion, la plupart d'entre elles affichent de nombreuses publicités contenant du code qui télécharge des applications malveillantes supplémentaires pouvant inciter les utilisateurs à communiquer leurs identifiants de connexion Facebook.
Il existe une application créée par le développeur Mplus Group, appelée HayLive, qui n'est pas malveillante. L'application semble différente du reste : elle est sollicitée par un peu plus d'utilisateurs que les autres applications, dispose d'une page Internet et sa structure APK est différente des autres. Il ne s'agit que d'une supposition, mais il est probable que le développeur de l'application n'ait initialement développé que HayLive et qu'elle soit devenue relativement populaire.
Afin de la rentabiliser davantage, le développeur a peut-être décidé de tirer profit du succès de HayLive pour promouvoir des applications malveillantes via la mention « Plus d'applications de ce développeur ».
Les téléchargeurs (les applications proposées sur Google Play) eux-mêmes ne contiennent pas de véritables fonctionnalités malveillantes, c'est ainsi qu'ils ont réussi à passer les contrôles de sécurité de Google. Le seul aspect négatif de ces applications réside dans un affichage agressif de publicités. Il existe cependant un piège : les applications peuvent télécharger des morceaux de code à utiliser dans le runtime ou peuvent même télécharger d'autres applications sur l'appareil.
Les téléchargeurs contactent un serveur configuré par les personnes à l’origine des téléchargeurs en question pour vérifier la liste des serveurs disponibles et envoyer une demande à l'un d'entre eux. Le serveur donne alors au téléchargeur un package pour qu'il puisse le télécharger sur l'appareil infecté. Le package est entièrement malveillant et s'il est supprimé, il peut être à nouveau téléchargé ou remplacé par un autre.
Les applications malveillantes téléchargées par le téléchargeur demandent immédiatement les autorisations d'administration de l'appareil. Si elles ne sont pas accordées, les applications affichent en permanence de fausses boîtes de dialogue d'incident chaque fois que l'utilisateur tente d'ouvrir une application sur son téléphone.
La boîte de dialogue indique généralement que l'application que l'utilisateur essaie d'ouvrir a échoué et que les services Google Play ont été désactivés afin de le convaincre d'activer les droits d'administration de l'appareil pour les services Google Play pour « éviter les bugs indésirables ».
Les applications que l'utilisateur essaie d'ouvrir ne présentent aucun problème. En réalité, elles fonctionnent normalement, mais la fausse boîte de dialogue d'échec que l'application malveillante affiche par-dessus couvre les applications de sorte que l'utilisateur ne peut pas se rendre compte que quelque chose ne va pas.
Cette gêne convainc les utilisateurs d'accorder les droits d'administration à l'application malveillante sans le savoir afin qu'ils puissent continuer à utiliser leur téléphone normalement.
Une fois les droits d'administration accordés à l'application, les boîtes de dialogue disparaissent et une requête est envoyée au serveur lui indiquant que les droits ont été accordés (/manager/update_state.php).
L'application de téléchargement recueille des informations sur l'appareil, telles que l'ID, l'emplacement, la langue et les paramètres d'affichage uniques de ce dernier. L'emplacement de l'appareil est obtenu à partir de l'adresse IP utilisée pour contacter les services en ligne qui offrent des informations de géolocalisation pour les adresses IP. Voici les services utilisés par l'application :
freegeoip.net
ip-api.com
Cette méthode n'exige pas que l'application dispose d'autorisations pour accéder à la localisation plus ou moins précise de l'appareil, mais elle ne peut être utilisée que lorsque l'appareil est connecté à Internet. Si l'utilisateur utilise un VPN, cette méthode indique l'emplacement du terminal auquel l'appareil est connecté via le service VPN.
Des informations sur l'appareil sont envoyées à un serveur (/manager/insert_device.php, manager/get_facebook_ads_manager_v4.8.php). Les données concernant l'emplacement de l'appareil sont souvent signalées comme une mise à jour du serveur, permettant de suivre la victime chaque fois qu'elle est connectée à Internet.
Les applications malveillantes vont encore plus loin et volent les identifiants de connexion Facebook. Cependant, elles ne volent pas les identifiants de l'application Facebook elle-même et elles ne tirent profit d'aucune vulnérabilité système ou d'application.
Au lieu de cela, elles trompent l'utilisateur pour qu'il fournisse ses identifiants en se faisant passer pour les services Google Play ou une autre application que de nombreux utilisateurs reconnaîtront probablement et en qui ils ont confiance.
Les boîtes de dialogue utilisées prétendent qu'un problème est survenu avec le compte Facebook de l'utilisateur : par exemple, quelqu'un a essayé de pirater son compte Facebook et il a été suspendu ou le serveur n'est pas disponible. Ces boîtes de dialogue s'affichent pour inquiéter l'utilisateur.
Les applications malveillantes chargent rapidement une page Internet avec la version mobile de Facebook pour « vérifier » le problème. L'activité imite même l'écran de chargement officiel de Facebook et ce n'est pas une page factice ; il s'agit de l'écran d'accueil Facebook pour les appareils mobiles (m.facebook.com), y compris le formulaire de connexion à Facebook.
Cependant, la page est affichée dans l'application malveillante comme un objet WebView et l'application peut donc injecter du code JavaScript dans la page. Lorsque l'utilisateur saisit ses identifiants de connexion Facebook, l'application les vole. Il n'y a en réalité aucun problème avec le compte ou le serveur, les messages sont juste des leurres alarmistes utilisés pour convaincre l'utilisateur de se connecter à son compte.
Cette façon de dérober des identifiants Facebook n'est pas vraiment inhabituelle, mais elle devient de plus en plus populaire. Cette popularité est probablement due au fait que les développeurs utilisent des navigateurs Web intégrés (WebView, WebChromeClient) dans leurs applications au lieu d'ouvrir la page Internet dans un navigateur.
L'utilisation généralisée de cette méthode signifie que les développeurs sont plus susceptibles de trouver des moyens d'exploiter les fonctionnalités des navigateurs intégrés, comme l'injection de JavaScript dans les pages chargées dans le navigateur intégré. L'option a toujours été là mais elle est désormais utilisée de façon abusive : elle est connue pour ne pas soulever d'inquiétudes en raison de sa popularité.
En effet, si un seul développeur utilisait WebChromeClient et injectait des malwares en utilisant JavaScript, l'abus serait signalé très tôt et la technique serait facilement reconnaissable, mais lorsque de nombreux développeurs utilisent cette fonctionnalité, il est alors plus difficile de détecter les abus.
Ci-dessus le fichier XML SharedPreferences des applications malveillantes créé lors de la saisie des identifiants dans la page de connexion Facebook. Le mot de passe et l'e-mail sont enregistrés avec les informations reçues du serveur, qui comprennent une liste de packages à télécharger.
Les identifiants volés sont enregistrés dans SharedPreferences de l'application malveillante et sont envoyés à un serveur distant. La connexion au serveur distant se fait via le protocole HTTP qui n'est pas chiffré, ce qui signifie que si quelqu'un surveille la communication de l'utilisateur, il peut aussi voler ses identifiants en clair.
Les identifiants sont envoyés sur un canal non chiffré au serveur.
Bien que Facebook puisse détecter et bloquer les connexions au compte s'il soupçonne que les identifiants ont été volés (généralement dans les cas où les identifiants de l'utilisateur sont soudainement utilisés à l'autre bout du monde), cette activité de connexion ne suscitera probablement pas de signal d'alarme car elle provient de l'emplacement habituel et de l'appareil utilisé par l'utilisateur.
Le Javascript dans l'application malveillante clique généralement sur les boutons de partage dans la page Facebook pour le compte de l'utilisateur et parcourt sa liste d'amis.
L'identificateur de page de l'URL Facebook pour une application ciblée est envoyé à l'appareil depuis le serveur (/manager/get_push.php). Ainsi, le développeur peut offrir des partages, des likes ou même des commentaires génériques aux entreprises ou aux utilisateurs à la recherche d'une promotion rapide de la part d'utilisateurs réels.
Il s'agit d'utilisateurs authentiques, ce qui signifie qu'ils ne seront pas signalés comme faux comptes par la vérification de Facebook et leur valeur est de ce fait plus élevée. Parcourir la liste d'amis des utilisateurs et accepter toutes les demandes d'amis ou ajouter tous les amis suggérés peut rendre les comptes récupérés plus rentables car ils auront davantage de portée et les partages peuvent être vendus plus chers.
Les applications contiennent plusieurs plateformes publicitaires qui peuvent afficher des publicités classiques et sous forme de vidéo, ainsi qu'une fonctionnalité qui permet à l'application de cliquer sur les publicités affichées. Les applications manipulent l'écran de verrouillage de l'appareil en allumant l'écran et en diminuant sa luminosité pour que l'utilisateur ne se rende pas compte que l'application malveillante clique à son insu sur des publicités en son nom.
Si une exception ou un problème non détecté se produit dans l'application, une trace de pile complète (un rapport complet) est récupérée et signalée au serveur afin que le développeur puisse corriger les problèmes.
Les applications originales de divertissement et de mode de vie que nous avons découvertes ciblent les utilisateurs vietnamiens et anglophones d'Android.
L'intégralité des alertes et des messages de ces téléchargeurs et les applications supplémentaires qu'ils téléchargent sont disponibles en anglais et en vietnamien. Les applications tentent de déterminer où se trouve l'utilisateur en vérifiant l'emplacement, la langue du téléphone et l'opérateur mobile. En fonction du résultat de ces contrôles, les applications s'affichent en vietnamien ou en anglais.
Jusqu'à présent, les utilisateurs du monde entier ont rencontré l'application, probablement parce qu'elle est disponible en anglais.
Nous pensons que les personnes derrière les applications malveillantes sont vietnamiennes. Outre le fait que la plupart des « applications » sont en vietnamien, un autre indice confirme nos soupçons : beaucoup d'applications téléchargées utilisent des noms de packages d'applications populaires au Vietnam.
D'autres indices suggèrent que plusieurs autres téléchargeurs proposés sous différents comptes de développeurs, que nous avons découverts plus tard, ont été téléchargés par la même personne ou le même groupe qui a proposé les téléchargeurs originaux que nous avons trouvés.
Les applications contactent le même serveur et contiennent un code presque identique à celui des téléchargeurs originaux. D'autres pistes ont révélé que certains des téléchargeurs contactaient un serveur différent avec la même interface et les mêmes scripts que ceux utilisés par les téléchargeurs originaux.
Comment vous protéger des téléchargeurs et autres applications malveillantes :
---------------------------
IOC :
http://mspace[.]com[.]vn
http://optimuscorp[.]pw
APPLICATIONS :
Téléchargeurs sur Google Play qui ont téléchargé des APK malveillants :
com.azmobie.blockhexa EFCA498B6A6715337CDEDF627690217CEF2D80D1C8F715B5C37652F556134F7E
com.bestsoftfree.audiorecorder F3223010D0BEACE2445561BCB62FFAA491423CAD0B94CA0C811A8E165B9B94A8
com.softedu.sieumaytinh 3D04094251D48AC7F42D52FA460AB46384AF656581EC39D149F76DB8DCA058AE 50CAD37A8FC9E317FD521F32A2ADAA0B2B5013832864DEEDD10B078A7F661CF4
com.goodtool.studio.app.tool.Share.TransferFile 0E7DF5409D657205BB82A2698D0E18B3A6F42B6A82C82C5FFEEEC45D0970C6B4
com.cosy.app.tool.compass 17D788D6A77E4BB2A59562EBAC24568337B095CA9E63E6A1559AC3ADFEC26FE3
Les applications sur Google Play qui ont contacté le même serveur et téléchargé des APK malveillants mais qui ont échoué/décidé de ne pas traiter/installer/enregistrer les APK :
com.cosy.app.tool.home.Touch.Assistive E69C1BD90B6CAE22DC7968657F3A550D584D9747F6D9FDC62DFE6C66AD7DCC0E
com.cosy.app.tool.Brightest.led.Flashlight EA9C392D1779E3630053BF5B469E2AE10FDABC90D27030F1812791D32E0E3B54
Téléchargeurs qui n'ont pas téléchargé d'APK malveillants (mais qui avaient la possibilité de le faire) :
com.azmobile.chessmaster 8C34B7D233868811AF12364FF783FB9CDDBD8D900B6FEE7285723F4190E9721C
com.calendar.appfree.lichvannien 79529115E98401C15AC23803E095234619FB326E40EF2E6FD166A8D67F74A573
com.lichcom.tuvi.lich.mautuat 2A714C1BB6EF061D6BCF0AFBFA4B7609CCD40D0EB4C13F15143652C034B02402 77A67D58CBCA8E3F50329EAD2F6DBA6B75833AE6E240FB1BEF0E5027EAA14146
Fichiers téléchargés :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 d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille.
1988 - 2024 Copyright © Avast Software s.r.o. | Sitemap Politique de Confidentialité