Cheval de Troie Firestarter

Le cheval de Troie Firestarter est un nouveau malware de chargeur Android qui abuse du service légitime Firebase Cloud Messaging (FCM) pour communiquer avec son infrastructure de commande et de contrôle (C2, C&C). Firebase est une filiale du géant de la technologie Google, et son service FCM est un outil cloud multiplateforme pour les messages et les notifications pour Android, iOS et d'autres applications Web.

Le cheval de Troie Firestarter a été détecté dans le cadre des opérations du groupe de menaces persistant avancé appelé DoNot. La menace des logiciels malveillants illustre les efforts de DoNot pour renforcer la persistance de leurs ancrages établis sur les appareils compromis. Cela démontre également la capacité des pirates à adopter de nouvelles techniques et à les implémenter rapidement dans leurs outils malveillants. DoNot se concentre principalement sur la région de l'Asie du Sud et, plus spécifiquement, sur l'Inde et le Pakistan.

Bien que cela n'ait pas été confirmé de manière décisive, le vecteur de distribution le plus probable du chargeur Firestarter est les messages directs d'ingénierie sociale qui tentent de tromper les utilisateurs sans méfiance en installant une application menaçante qui prétend être une plate-forme de chat. Les noms des fichiers de l'application - ashmir_sample.apk ou Kashmir_Voice_v4.8.apk, illustrent l'intérêt continu de DoNot pour la crise au Cachemire.

Un cheval de Troie Firestarter abuse du service légitime

Une fois exécutée, l'application malveillante lance une routine de détournement qui comprend plusieurs faux messages d'erreur affichés à l'utilisateur pour tenter de masquer son activité menaçante. Les messages indiquent à tort que l'application n'est pas prise en charge et qu'elle sera désinstallée. Pour faire comme si l'application n'était plus installée, son icône sera supprimée de l'interface utilisateur. Cependant, passer en revue les paramètres de l'appareil montrera que l'application est toujours présente sur l'appareil et fonctionne en arrière-plan.

La fonctionnalité principale du cheval de Troie Firestarter est d'établir une connexion avec les serveurs C2 et de fournir et déployer la charge utile du malware. Dans sa communication sortante, le chargeur envoie un jeton Google FCM contenant diverses informations système, notamment l'adresse IP, la géolocalisation, l'IMEI et l'adresse e-mail. Ces informations initiales aident les pirates à déterminer si la cible mérite d'être infectée par la principale menace malveillante. S'ils décident de poursuivre, les cybercriminels renvoient un message FCM au chargeur contenant le lien d'où il doit récupérer la charge utile.

Le fait que le trafic du cheval de Troie Firestarter exploite un service légitime l'aide à mieux se fondre dans le reste de la communication générée par le système d'exploitation Android à l'aide de l'infrastructure Google. Une autre mesure contre la détection facile est le téléchargement post-compromission de la charge utile menaçante, qui minimise l'empreinte initiale de la menace malveillante qui doit infiltrer l'appareil ciblé.