Actualités

GriftHorse : quand un cheval de Troie dissimulée dans des applications mobiles Android extorque de l’argent dans le monde entier depuis, au moins, Novembre 2020 !

L’équipe Zimperium zLabs (Aazim Yaswant, Nipun Gupta) vient de mettre en lumière une campagne d’ampleur mondiale : baptisée GriftHorse, elle permet à un cheval de Troie, au moins depuis Novembre 2020, de sévir sur le Google Play Store mais aussi via des boutiques d’applications tierces à travers des applications frauduleuses, notamment en exploitant une attaque par ingénierie sociale…

 

 

La campagne a ciblé des millions d’utilisateurs de plus de 70 pays en proposant des pages malveillantes sélectives aux utilisateurs en fonction de la géolocalisation de leur adresse IP avec la langue locale […] Lors de l’infection, la victime est bombardée d’alertes à l’écran lui faisant savoir qu’elle a gagné un prix et qu’elle doit le réclamer immédiatement. Ces pop-ups réapparaissent pas moins de cinq fois par heure jusqu’à ce que l’utilisateur de l’application accepte avec succès l’offre. En acceptant l’invitation pour le prix, le malware redirige la victime vers une page Web géo-spécifique où il lui est demandé de soumettre ses numéros de téléphone pour vérification. Mais en réalité, ils soumettent leur numéro de téléphone à un service SMS premium qui commencerait à facturer leur facture de téléphone à plus de 30 € par mois“, est-il expliqué, en préambule, dans le billet sécuritaire technique des chercheurs. Une aspiration de données se produit, en finalité, notamment l’IMEI ou, entre-autres, le IMSI du terminal ainsi ciblé.

 

La cyber-attaque passe sous les radars en possédant un code-source personnalisé (pas d’URL en dur, comme souligné par zLabs) ou en variant les noms de domaine tout en adaptant la stratégie, selon le pays de la victime (adresse IP). La viralité (cheval de Troie) est déployée à l’aide de Cordova (Apache). Hors contexte malveillant, il s’agit d’un outil permettant d’appliquer une mise à jour logicielle pour que, côté utilisateur, l’application mobile soit déjà à jour, sans la déclencher en manuel. Cette technologie qui repose sur une donnée en temps réel s’avère, ici, une faiblesse, pointent les chercheurs : JavaScript, HTML, CSS… l’infection est encore plus propagée par ce biais sans que l’utilisateur ne puisse accepter (hormis l’invitation évoquée plus en haut, bien sûr), finalement, quoique cela soit. Une APK recèle des fichiers chiffrés au sein d’un dossier nommé assets (/www) qui seront, ensuite, déchiffrés via WebView pour charger l’index (.html) : un appel-fonction (onDeviceReady) s’opérera pour ajouter AAID (Google Advertising ID) sous les terminaux mobiles Android. Après plusieurs autres cheminements de cet acabit, la fonction GetData() est dégainé, côté programmation, pour initialiser un serveur command-and-control via une connexion chiffrée en HTTP POST qui sera, ensuite, déchiffrée sous AES pour réceptionner l’URL puis exécuter (GET) une commande via InAppBrowser (Apache Cordova).

 

Côté utilisateur, les notifications-push sont expulsées de manière chronique (5 fois par heure) pour avoir, à l’usure, la victime qui, si elle cède, sera renvoyée vers un domaine spécifique (le même, peut importe le pays). A ce stade, un formulaire s’affichera, alors, pour demander des coordonnées téléphoniques : une fois l’ensemble validé, en réalité, non-pas un cadeau mais un abonnement premium sera associé au terminal de la victime.

 

A noter que deux variants ont été mis en relief, au cours du PoC :

 

 

  • Un bouton (nommé “cliquer” ou “continuer“), une fois cliqué, initie l’envoi d’un SMS ce qui génère l’amorce malveillante via une URI ;

  • Avant l’étape décrite ci-dessus (du premier variant, donc), un enregistrement préalable est fait en back-end (saisie + enregistrement) du numéro de téléphone aspiré.

 

Une corrélation forte ou étroite existe entre le code injecté sous JavaScript (Web) et les fonctions dans l’application mobile ce qui permet, en finalité, depuis le Web, d’exécuter (natif) des commandes ou évènements depuis l’application mobile tronquée. En moyenne, la ponction, par victime, est estimée à 30 euros mensuels voire 200 euros, pour l’heure, pour les toutes premières victimes (depuis Novembre 2020) pour peu qu’elles ne se soient pas rendues compte de la supercherie, en signalant le méfait aux autorités ou à l’opérateur mobile (blocage SIM). Le cheval de Troie serait présent dans plus de 70 pays sur Terre, impactant ainsi pas moins de 10 millions de terminaux Android “au cours des derniers mois“… A veiller !

 

 

 

Source : blog Zimperium zLabs – 29 Septembre 2021 – GriftHorse : le cheval de Troie qui extorque de l’argent à ses victimes tout en aspirant de la donnée (indices de compromissions + listing complet des applications à désinstaller d’urgence).




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.11.5