Logiciels malveillants Android

Un acteur de menace persistante avancée (APT) a été suivi dans une nouvelle campagne déployant des logiciels malveillants Android via le portail Web du gouvernement en ligne syrien, indiquant un arsenal amélioré conçu pour compromettre les victimes.

« À notre connaissance, c’est la première fois que le groupe est publiquement observé en train d’utiliser des applications Android malveillantes dans le cadre de ses attaques », a déclaré Zhengyu Dong, Fyodor Yarochkin et Steven Du, chercheurs de Trend Micro. mentionné dans un article technique publié mercredi.

FortPitoyage, également nom de code Prométhium par Microsoft, serait active depuis 2002 et se concentre généralement sur des cibles en Turquie et en Syrie. En juin 2020, l’acteur de la menace d’espionnage était lié à une vague d’activités qui misait sur des attaques de points d’eau et des installateurs falsifiés, qui abusent de la popularité des applications légitimes, pour infecter des cibles avec des logiciels malveillants.

Équipes de débordement de pile

« Promethium a fait preuve de résilience au fil des ans », Cisco Talos divulgué l’année dernière. “Ses campagnes ont été exposées à plusieurs reprises, mais cela n’a pas suffi à faire arrêter les acteurs derrière. Le fait que le groupe ne s’interdise pas de lancer de nouvelles campagnes même après avoir été exposé montre sa détermination à accomplir sa mission.”

La dernière opération n’est pas différente en ce sens qu’elle souligne la propension de l’acteur de la menace à reconditionner les applications bénignes en variantes trojanisées pour faciliter les attaques.

Le malware, se faisant passer pour l’application Android e-Gov syrienne, aurait été créé en mai 2021, avec le fichier manifeste de l’application (“AndroidManifest.xml“) modifié pour demander explicitement des autorisations supplémentaires sur le téléphone, y compris la possibilité de lire les contacts, d’écrire sur un stockage externe, de garder l’appareil éveillé, d’accéder aux informations sur les réseaux cellulaires et Wi-Fi, l’emplacement précis et même de permettre à l’application de s’auto-utiliser démarré dès que le système a fini de démarrer.

Logiciels espions Android

De plus, l’application malveillante est conçue pour effectuer des tâches de longue durée en arrière-plan et déclencher une demande à un serveur de commande et de contrôle (C2) distant, qui répond avec une charge utile cryptée contenant un fichier de paramètres qui permet au “malware de modifier son comportement en fonction de la configuration” et mettre à jour son adresse de serveur C2.

Enfin et surtout, l’implant “hautement modulaire” a la capacité d’aspirer les données stockées sur l’appareil infecté, telles que les contacts, les documents Word et Excel, les PDF, les images, les clés de sécurité et les fichiers enregistrés à l’aide du traitement de texte Dagesh Pro (.DGS ), entre autres, qui sont tous exfiltrés vers le serveur C2.

Gestion des mots de passe d'entreprise

Malgré aucun rapport public connu de StrongPity utilisant des applications Android malveillantes dans leurs attaques, l’attribution de Trend Micro à l’adversaire découle de l’utilisation d’un serveur C2 qui a déjà été utilisé dans des intrusions liées au groupe de piratage, notamment un campagne de malware documenté par Alien Labs d’AT&T en juillet 2019 qui a utilisé des versions corrompues du logiciel de gestion de routeur WinBox, WinRAR et d’autres utilitaires de confiance pour violer les cibles.

“Nous pensons que l’acteur de la menace explore plusieurs façons de fournir les applications aux victimes potentielles, telles que l’utilisation de fausses applications et l’utilisation de sites Web compromis comme points d’eau pour inciter les utilisateurs à installer des applications malveillantes”, ont déclaré les chercheurs.

« En règle générale, ces sites Web obligeraient leurs utilisateurs à télécharger les applications directement sur leurs appareils. Pour ce faire, ces utilisateurs devraient autoriser l’installation des applications à partir de « sources inconnues » sur leurs appareils. Cela contourne la « confiance » chaîne de l’écosystème Android et permet à un attaquant de fournir plus facilement des composants malveillants supplémentaires », ont-ils ajouté.



Leave a Reply