Une nouvelle version du malware Android XLoader a été découverte qui s’exécute automatiquement sur les appareils qu’il infecte, ne nécessitant aucune interaction de l’utilisateur pour se lancer.

XLoader, alias MoqHao, est un malware Android exploité et probablement créé par un acteur de la menace à motivation financière nommé « Roaming Mantis », précédemment vu cibler des utilisateurs aux États-Unis, au Royaume-Uni, en Allemagne, en France, au Japon, en Corée du Sud et à Taiwan.

Les attaquants distribuent principalement le logiciel malveillant par SMS contenant une URL (raccourcie) pointant vers un site fournissant un fichier d’installation Android APK pour une application mobile.

Les chercheurs de McAfee rapportent que les variantes récentes de XLoader démontrent la possibilité de se lancer automatiquement après l’installation. Cela permet au malware de s’exécuter furtivement en arrière-plan et de siphonner des informations utilisateur sensibles, entre autres.

Anciennes et nouvelles chaînes d’infection

« Pendant que l’application est installée, leur activité malveillante démarre automatiquement », explique McAfee, partenaire de l’alliance App Defense d’Android.

« Nous avons déjà signalé cette technique à Google et ils travaillent déjà à la mise en œuvre d’atténuations pour empêcher ce type d’exécution automatique dans une future version d’Android. »

Pour obscurcir davantage l’application malveillante, Roaming Mantis utilise des chaînes Unicode pour déguiser les fichiers APK malveillants en logiciels légitimes, notamment le navigateur Web Chrome.

Demandes d’autorisation lors du premier lancement

Cette usurpation d’identité est vitale pour l’étape suivante, qui consiste à inciter l’utilisateur à approuver des autorisations risquées sur l’appareil, comme l’envoi et l’accès au contenu SMS, et à être autorisé à « toujours fonctionner en arrière-plan » en ajoutant une exclusion de l’optimisation de la batterie d’Android.

Demande délicate de définir le logiciel malveillant comme application par défaut pour les SMS

La fausse application Chrome demande également à l’utilisateur de se définir comme l’application SMS par défaut, affirmant que cela aidera à prévenir le spam.

Les messages contextuels utilisés dans cette étape sont disponibles en anglais, Coréen, Français, Japonais, Allemand et Hindi, ce qui indique les cibles actuelles de XLoader.

Code pour créer les messages contextuels

Opération de malware
L’itération récente de XLoader crée des canaux de notification pour effectuer des attaques de phishing personnalisées sur l’appareil.

Il extrait les messages de phishing et les URL d’atterrissage des profils Pinterest, susceptibles d’échapper à la détection des outils de sécurité surveillant les sources de trafic suspectes.

Profil Pinterest hébergeant le message d’hameçonnage et l’URL

De plus, l’utilisation de Pinterest permet aux attaquants de changer de destination et de messages de phishing à la volée sans risquer d’envoyer une mise à jour du logiciel malveillant sur l’appareil.

Si cela échoue, XLoader revient à l’utilisation de messages de phishing codés en dur qui alertent l’utilisateur d’un problème avec son compte bancaire qui l’oblige à prendre des mesures.

De plus, le logiciel malveillant peut exécuter un large éventail de commandes (20 au total) reçues de son serveur de commande et de contrôle (C2) via le protocole WebSocket.

Les commandes XLoader les plus importantes sont:

  • get_photo: Transmet toutes les photos au serveur de contrôle, risquant d’importantes atteintes à la vie privée.
  • getSmsKW: Envoie tous les messages SMS au serveur de contrôle, risquant la confidentialité en exposant potentiellement des informations sensibles.
  • envoyer des SMS: Permet au logiciel malveillant d’envoyer des SMS, de diffuser le logiciel malveillant ou d’activer le phishing par usurpation d’identité.
  • gcont: Exporte l’intégralité de la liste de contacts vers le serveur de contrôle, ce qui risque de porter atteinte à la vie privée et permet un hameçonnage ciblé.
  • getPhoneState: Collecte les identifiants de l’appareil (IMEI, numéro SIM, IDENTIFIANT Android, numéro de série), permettant le suivi.
  • http: Facilite l’envoi de requêtes HTTP pour le téléchargement de logiciels malveillants, l’exfiltration de données ou la communication C2.

Depuis son apparition sur la scène des menaces mobiles en 2015, XLoader a constamment fait évoluer ses méthodologies d’attaque, améliorant ses capacités de furtivité et son efficacité.

McAfee avertit que les dernières variantes de XLoader peuvent être particulièrement efficaces car elles nécessitent une interaction minimale de l’utilisateur.

Considérant que le logiciel malveillant se cache sous le couvert de Chrome, McAfee suggère d’utiliser un produit de sécurité capable d’analyser l’appareil et de déraciner ces menaces en fonction d’indicateurs connus.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *