[ad_1]

Les histoires de la série Breadcrumbs de ce blog ont cherché à passer au peigne fin les indices qui indiquent l’emplacement et l’identité possibles des auteurs et des fournisseurs de logiciels malveillants. Mais de temps en temps, ces indices ramènent définitivement à un individu. Dans l’article d’aujourd’hui, nous parlerons avec l’auteur du Cheval de Troie Pincer pour Android — un programmeur de 32 ans dans une entreprise de développement d’applications mobiles en Russie.

bwombreEn avril, la société de sécurité finlandaise F-Secure premier averti sur Cheval de Troie : Android/Pincer.A, déguisé en certificat de sécurité et conçu pour intercepter et transférer subrepticement des messages texte. Comme le note F-Secure, les précédentes applications mobiles malveillantes prétendant être des certificats étaient des composants mobiles de chevaux de Troie bancaires visant à déjouer l’authentification à deux facteurs.

Les chercheurs de F-Secure ont observé que Pincer utilisait le IMEI du téléphone de la victime comme identifiant, et que le cheval de Troie appellerait chez lui un serveur de contrôle et rapporterait le numéro de téléphone et de série de l’appareil, le modèle de téléphone, l’opérateur et la version du système d’exploitation. Ils ont également découvert que Pincer vérifie s’il est exécuté dans un environnement virtuel, ce qui est une astuce courante conçue pour frustrer les outils d’analyse des logiciels malveillants utilisés par les chercheurs en sécurité.

Fait intéressant, F-Secure a noté que le code du cheval de Troie comprend une classe appelée « USSDDumbExtendedNetworkService » – un composant auquel a été attribuée une variable apparemment arbitraire qui, selon les chercheurs de F-Secure, était probablement associée à une entreprise de béton canadienne-française ou au pseudo Twitter de un jeune russe dont la page Google+ répertorie l’emploi en tant que « développeur Android ».

J’ai contacté F-Secure à propos de ce message et j’ai appris que la partie expurgée de ce message – la variable incluse dans cette première variante du cheval de Troie Pincer – était « senneco.com » (L’analyse de Virustotal le répertorie comme « com.senneco »). Une recherche rapide sur Google donne Twitter et Google+ comptes de ce nom appartenant à un Iouri Chmakov de Novossibirsk, Russie. La page Google+ de Shmakov indique qu’il est développeur chez Arello Mobileune société de développement d’applications mobiles également à Novossibirsk.

Chaîne de texte "senneco" à l

Chaîne de texte « senneco » dans un premier échantillon du cheval de Troie Android Pincer. Source : F Secure.

Une analyse des comptes de Shmakov a révélé l’adresse e-mail [email protected]. J’ai envoyé un e-mail à cette adresse, expliquant les conclusions de F-Secure et demandant si le destinataire avait quelque chose à voir avec le cheval de Troie Pincer. À ma grande surprise, Shmakov a rapidement répondu que, pourquoi oui, il l’avait en effet créé en tant que projet indépendant.

Shmakov m’a dit que, sur la base des spécifications du client, il soupçonnait qu’il pourrait finalement être utilisé à des fins néfastes. Malgré tout, il a terminé le travail et signé son travail en incluant son surnom dans le code de l’application.

« J’ai travaillé sur cette application pendant quelques mois et j’espérais qu’elle serait vraiment utile », a écrit Shmakov. « [The] L’idée de cette application est que vous pouvez la configurer comme un filtre anti-spam… bloquer certains appels et SMS à distance, à partir d’un service Web. j’espérais que ce serait [some kind of] liste noire, avec journalisation bloquée [messages/calls]. Mais bien sûr, j’ai compris que le client [did] pas vraiment envie de ça.

Shmakov a déclaré que le gars qui l’avait embauché pour écrire l’application Android avait utilisé l’adresse e-mail [email protected]. Mais Shmakov a refusé de dire pourquoi il avait décidé d’accepter le poste, même s’il comprenait que sa création serait utilisée à des fins malveillantes.

« La tâche la plus difficile à comprendre et à mettre en œuvre était d’intercepter la valeur d’exécution USSD sans accès root », a poursuivi Shmakov, passant au russe dans une seconde réponse plus académique par e-mail. « L’algorithme associé était plutôt compliqué. Par exemple, si vous ne parvenez pas à transmettre le SMS intercepté sur Internet, ajoutez-le à la file d’attente ; s’il a passé trop de temps dans la file d’attente, puis l’envoyer par SMS, etc. Cela dit, ce n’est pas vraiment pertinent pour notre cas. Soit dit en passant, cela peut en effet valoir la peine de créer un tel service – tel que je l’avais imaginé à l’origine. Surtout, compte tenu du fait que le spam mobile a finalement pris le contrôle de la Russie.

Celui qui possède l’adresse [email protected] n’a pas répondu aux demandes de commentaires. Mise à jour, 28 août, 8 h 55 HE : Entendu par [email protected], qui n’était pas trop content que j’aie posté son adresse e-mail. Alex voulait que je sache que c’était lui qui avait vraiment militarisé l’application Android créée par Shmakov.

« Cher Meguetaoui., merci pour votre e-mail. Le développeur n’a pas créé le logiciel malveillant car sa tâche consistait à créer l’application légitime. après avoir reçu les codes sources, je l’ai personnellement repensé en malware (changement d’interface et ajout de quelques fonctionnalités et astuces également). Je suis développeur professionnel, mais je n’ai pas suffisamment d’expérience dans le développement d’applications Android. PS, je suis très déçu que vous ayez publié des informations de contact en public, je reçois maintenant des spams en masse sur mon e-mail, merci beaucoup pour cela.

Message d’origine :

Il est extrêmement courant de trouver des emplois de logiciels malveillants et de cybercriminalité qui sont sous-traités à des indépendants. Dans leur excellent article de 2011, «Métiers salissants : le rôle des travailleurs indépendants dans l’abus des services Web», (PDF), des chercheurs de l’Université de Californie à San Diego se sont penchés sur la façon dont les cybercriminels s’approprient les abus sur le Web. De plus, il n’est pas rare de voir sur des forums clandestins des individus louer des services pour concevoir divers composants d’opérations de logiciels malveillants, des panneaux administratifs principaux aux interfaces utilisateur pour les outils de création de logiciels malveillants par pointer-cliquer. Ce fut le cas avec le Styx Exploit Pack, bien que les concepteurs de ce kit de logiciels criminels aient clairement des liens plus personnels avec les personnes qui vendaient le logiciel malveillant.

Aux États-Unis, l’écriture de logiciels malveillants est une forme protégée de liberté d’expression, mais seulement jusqu’à un certain point. Les procureurs ont poursuivi les auteurs de logiciels malveillants qui cherchent à diffuser leurs créations ou qui ont créé des logiciels malveillants en sachant parfaitement comment ils seront utilisés.

Cela semble également être le cas en Russie, quoique dans une affaire impliquant le vol de centaines de millions de dollars. Plus tôt cette année, les autorités ont condamné à la prison un certain nombre de programmeurs qui ont été embauchés pour créer des composants individuels du cheval de Troie bancaire Carberp. Selon un compte rendu de l’action des forces de l’ordre dans le média russe Kommersant, Carberp a été codé par une équipe d’environ 20 à 25 personnes de moins de 30 ans. La plupart des hommes ne s’étaient jamais rencontrés en personne. Chacun travaillait à distance et était responsable du développement de modules spécifiques du code Carberp, composants qui étaient ensuite transmis à un serveur de développement principal à Odessa, en Ukraine.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *