Posté le janvier 28, 2022 à 9:54

PLUS DE 100 MILLIONS DE TÉLÉPHONES ANDROID INFECTÉS PAR LE LOGICIEL MALVEILLANT « DARK HERRING »

Les chercheurs en sécurité de Zimperium zLabs ont révélé que des acteurs de menaces utilisent un nouveau logiciel malveillant sophistiqué, appelé « Dark Herring », pour infecter des millions de téléphones Android.

Les hackers utilisent un faux message pour inciter les utilisateurs d’Android à s’abonner à un faux service, leur soutirant 15 dollars par le biais de la facturation directe au transporteur. D’après le rapport, environ 105 millions d’appareils Android ont été ciblés.

Les hackers utilisent cette méthode de facturation car les utilisateurs ne savent pas qu’ils ont été facturés avant la fin du mois, lorsque la facture mensuelle est envoyée.

Par conséquent, les victimes n’ont pas pu réagir à temps, car les acteurs de menaces ont emporté beaucoup d’argent, même plusieurs mois après la première infection. Le rapport indique que les hackers auraient pu gagner des millions de dollars avant de mettre fin à leur campagne de piratage.

Le logiciel malveillant a pu rester caché pendant longtemps

Les chercheurs ont également révélé que le logiciel malveillant implanté par les hackers est resté indétectable pendant plusieurs mois. Dark Herring est considéré comme un logiciel malveillant sophistiqué qui utilise des couches d’obscurcissement du code et des mesures anti-détection pour rester sous le radar. Bien que le logiciel malveillant ait été diffusé dans plus de 450 applications, il a utilisé une méthode différente dans chacune d’entre elles, ce qui le rend un peu plus difficile à surveiller et à détecter.

Toutefois, les chercheurs ont noté que les applications ne contiennent pas de code malveillant intégré, mais une chaîne de cryptage. Celle-ci dirige l’utilisateur vers une page WebView sur le serveur Amazon CloudFront.

Une fois que l’utilisateur se rend sur la page, celle-ci lui demande de confirmer sa connexion, ce qui l’amène à saisir son numéro de téléphone. Pendant que l’utilisateur saisit son numéro de téléphone, le logiciel malveillant travaille en arrière-plan pour connecter le numéro de téléphone de l’utilisateur à son pays et au système de facturation directe par opérateur qu’il utilisera.

Les chercheurs ont également confirmé la sophistication de la campagne en soulignant que les acteurs de menaces ont investi beaucoup d’infrastructures dans sa planification et son exécution. L’opération était bien financée et les attaquants travaillent probablement sur le prochain logiciel malveillant sophistiqué, d’après le type d’outils qu’ils utilisent.

Comment les hackers ont-ils utilisé Dark Herring ?

Les chercheurs ont reconnu que les développeurs du logiciel malveillant Dark Herring ont utilisé la fonction de facturation directe par l’opérateur pour abuser de victimes peu méfiantes.

Cette fonction de facturation, qui permet aux utilisateurs d’acheter des services numériques ou des articles physiques à l’aide de leur téléphone, est très courante dans de nombreux pays.

En termes de fonctionnalité, la fonction ressemble à Google Pay ou Apple Pay, mais les frais sont supprimés en tant que facturation du téléphone plutôt qu’un compte Google ou Apple. Dans le cas d’un cheval de Troie bancaire, l’utilisateur verra que son compte a été débité immédiatement après que le Trojan ait effectué un mouvement de facturation. Mais le logiciel malveillant Dark Herring débite directement la facture de téléphone, qui est payée à la fin du mois dans la plupart des cas. Il est donc très difficile de le remarquer immédiatement et de signaler l’incident. Le temps que l’utilisateur reçoive sa facture de téléphone, le logiciel malveillant peut avoir terminé son travail dans ses applications mobiles.

Une autre difficulté réside dans le fait que les applications Dark Herring représentent de véritables publicités et offres de services, ce qui les rend très difficiles à détecter par les applications de sécurité ou les utilisateurs.  Dans d’autres applications malveillantes, l’utilisateur ne dispose d’aucune capacité fonctionnelle. Mais dans le cas de l’application Dark Herring, les victimes peuvent utiliser l’application après son installation. Cela signifie que l’application peut être largement utilisée et continuer à remplir sa mission principale, qui est de voler de l’argent.

Les utilisateurs sont invités à protéger leurs appareils

Les applications infectées par le logiciel malveillant Dark Herring sont généralement des éditeurs de photos et des jeux authentiques, ainsi que d’autres applications de base.

Au moment de la rédaction de cet article, les applications malveillantes ont été retirées de la boutique Google Play. Cependant, certaines d’entre elles peuvent encore être vues sur des marchés d’applications « off-road ». Les chercheurs ont déclaré que les utilisateurs devraient éviter de fréquenter les sites d’applications qui ne sont pas populaires ou qui n’ont pas une bonne réputation. Ils ont également conseillé aux utilisateurs de vérifier s’ils en ont installé un et d’essayer de le désinstaller dès que possible.

Zimperium zLabs a également dressé la liste de la plupart des applications liées au Dark Herring sur sa page Web afin de permettre aux utilisateurs de vérifier s’ils ont installé l’une de ces applications.

La liste étant assez longue et écrite sans ordre particulier, le site Web a demandé aux utilisateurs de la copier et de la charger sur leur navigateur de bureau. Ils peuvent rechercher le nom des applications sur leur téléphone s’ils ont des doutes sur l’une d’entre elles.