MobonoGram 2019 : la fausse application malicieuse Telegram qui permettait de générer des gains publicitaires ! (endless loop)

Alors que l'application reste bannie dans certaines contrées / pays comme la Russie (depuis 2018), certains petits malins n'hésitent pas à exploiter cette faille du genre pour proposer sur le Play Store de Google une version tronquée de Telegram. Même si le nom paraît un peu énorme (puisque Telegram se nomme... Telegram), pas moins de 100 000 terminaux ont ainsi réceptionnés l'application nommée "MobonoGram" qui ressemble à Telegram mais qui recèle, en réalité, outre diverses fonctions véritables, permettait de générer à l'infini le lancement de pages Web, en général, publicitaires, afin d'obtenir un gain - distant - publicitaire.

 

L'application malicieuse (Android.Fakeyouwon) fonctionnait sur la base de la boucle infinie ("infinite loop" ou "endless loop") et qui, via trois codes JavaScript, pouvait commencer (initialisation) dès l'installation ou l'ouverture de l'application. Bien évidemment, pour parer à toute éventualité, si le processus était mis en fin de tâche ou "arrêté" dans le terminal mobile une fonction dans le code permettait une réinitialisation récurrente, en millisecondes (7, 200 000 !) ou au bout de deux heures, ce qui permettait de parfaire cette boucle infernale en surchargeant, but premier, la mémoire du système.

 

 

L’exécution des 3 scripts JavaScript.
(Source : Blog Symantec)

 

Pour appâter la victime des messages de dotations à réclamer de type "félicitations, vous avez gagné un Samsung S10" ou des cartes-cadeaux de grandes enseignes locales d'hypermarché, étaient utilisés. L'équipe de Symantec, qui a découvert cette fraude au clic s'est aperçu, en tentant de retracer l'auteur, que quatre autres applications du même acabit étaient similaires à MobonoGram, ce qui a conforté l'éditeur sécuritaire dans le fait que soit MobonoGram était issue du (ou des) même(s) auteur(es), soit le code a été tout bêtement copié.

Sont principalement affectés par cette variante du vers, de Janvier à Mai dernier, l'Iran (en large majorité), les États-Unis, les Émirats Arabes Unis et l'Allemagne, même si, en aparté, Symantec précise que depuis sa découverte, le 16 Novembre 2017, Fakeyouwon (toute variante comprise) a touché les États-Unis (en large majorité), l'Iran, l'Inde et les Émirats Arabes Unis.

 

Un exemple d'exploit possible de "Media file jacking" depuis WhatsApp.
(Source : Skycure)

 

En aparté, le 15 Juillet dernier, Symantec a, également, pointé du doigt une vulnérabilité problématique et dangereuse au sein de Telegram et WhatsApp. Dénommée "Media file jacking", comme l'indique son nom, cette dernière exploite une faille au niveau du stockage temporaire alors que l'une des applications concernées est en train de réceptionner le fichier mis en dur. Dans cette zone de transit, une interception malveillante est donc possible en vue de corrompre le fichier : par exemple, on peut détourner une photo et remplacer certains éléments si l'on est spécialisé dans ce type de retouches d'e-photos ; ou encore, une piste enregistrée peut être modifiée malicieusement pour mieux en détourner le message. Dans l'absolu, Symantec recommande fortement de DESACTIVER depuis WhatsApp et Telegram, la visibilité des médias sur support externes.

Comme à l'accoutumé, il est rappelé de ne télécharger que les applications et logiciels dont l'éditeur est vérifié ou certifié (une coche en général, sur les store type Google, Apple ou Microsoft) ou, sinon, que l'éditeur (son nom) est bien celui assimilé à l'application que l'on s'apprête à installer. Symantec donne les hashs et les domaines (bloqués bien sûr ou considérés comme frauduleux, du moins) tout en notant que déjà ici, des URLs telles que "arnakflow.com" ou "2dl.pw" n'incitent, en théorie, pas à donner certaines informations de profil et / ou personnelles, même pour un concours... A veiller !

 

Source : Blog Symantec - 15 Juillet 2019 - MobonoGram 2019 : l'application frauduleuse imitant Telegram et téléchargée "plus de 100 000 fois" sur le Google Play Store.