C'est un VPN ? C'est un chat ? Non, c'est un malware

Plus la technologie avance et plus les problématiques liées à la cybersécurité se complexifient, ce n'est un secret pour personne. Toute technique est bonne à exploiter lorsqu'il s'agit de voler des données. Cyfirma, une entreprise de cybersécurité de Singapour, a révélé récemment trois applications Android utilisées par des acteurs étatiques pour collecter des données illégalement.

Ces applications visent principalement les données de localisation et les listes de contacts des victimes, et sont attribuées au groupe indien « DoNot ». Il s'agirait de la première étape d'une attaque à plus grande échelle que ce groupe de hackers cherche à mener. Le mode opératoire est plutôt classique, à savoir : cacher les malwares sous des applications disponibles au téléchargement sur Google Play. La technique n'est pas nouvelle, nous écrivions déjà un article à ce propos en mai.

Les applications en question

Les applications suspectées par Cyfirma sont nSure Chat et iKHfAA VPN. Ces deux applications peuvent se télécharger au moyen d'une troisième, appelée SecurITY Industry. Même si cette dernière ne semble pas malveillante, elle peut aider au téléchargement des deux premières même si elles restent tout de même disponibles sur Google Play. Si l'on se réfère au nombre total de téléchargements, relativement faible, des deux applications, on peut supposer qu'elles sont certainement utilisées à petite échelle et de manière très ciblée.

Une fois les deux applications installées, elles passent par une demande d'accès aux données de localisation (ACCESS_FINE_LOCALISATION) et à la liste des données de contacts de l'utilisateur (READ_CONTACT). Une fois ces deux types de données collectées, elles sont stockées localement dans la bibliothèque ROOM d'Android, pour être ensuite envoyées au serveur C2 (centre de contrôle et de commande) des hackers grâce à une requête HTTP.

Attributions et techniques particulières

C'est donc le groupe de hackers indien DoNot qui a été attribué à ces attaques par l'entreprise Cyfirma. Pour appuyer ses accusations, elle affirme que l'utilisation spécifique de deux techniques particulières sont presque une marque de fabrique de ce groupe. Premièrement l'utilisation de l'algorithme AES/CBC/PKCS5PADDING, une combinaison de trois éléments distincts pour chiffrer et verrouiller des données de manière plus efficace. La deuxième technique s'appelle Proguard, et est un outil utilisé pour rendre le code moins facilement lisible. En plus de ces techniques rapidement repérées, il existerait des similitudes entre la dénomination de certains fichiers générés dans cette campagne de hacking et d'autres activités plus anciennes du groupe.

Ainsi, les chercheurs de Cyfirma affirment que DoNot a abandonné la tactique de phishing par mail, préférant se tourner plus volontiers vers des attaques de messageries comme WhatsApp ou Telegram. Les potentielles victimes cliquent sur un lien envoyé en message privé qui les redirigent vers Google Play, où elles pourront télécharger les apps piégées. La plateforme donne ainsi une impression de légitimité et de confiance aux personnes qui se font avoir. Ce n'est, de plus, pas la première fois qu'une telle situation se produit.

Ces découvertes mettent en lumière les évolutions rapides des différentes techniques utilisées par les groupes de hackers pour arriver à leurs fins. Même si, dans le cas de DoNot, la technique de phishing est relativement classique, les applications concernées sont tout de même téléchargées en toute confiance sur Google Play. Les victimes de ces attaques sont pour l'instant peu connues et basées pour la plupart au Pakistan, mais il demeure essentiel de rester à jour quant aux évolutions de ces failles de cybersécurité.

Sources : Bleeping Computer, Cyfirma