Cheval de Troie Wroba
Le cheval de Troie Wroba est une menace de cheval de Troie mobile qui a été déployée contre des utilisateurs au Japon, en Corée et dans d'autres endroits de la région depuis au moins 2013. Cependant, les pirates derrière cette menace de malware l'ont maintenant équipé de plusieurs techniques modernes et l'ont déchaînée contre utilisateurs aux États-Unis pour la première fois, affichant une expansion significative de sa portée.
Les versions initiales de Wroba ont été prises en prétendant être une application légitime de Google Play Store, tandis que des itérations ultérieures ont abusé des paramètres DNS des routeurs compromis pour envoyer les utilisateurs vers des sites Web corrompus. Le dernier vecteur de distribution du cheval de Troie Wroba est le «smishing» - SMS de phishing. Les pirates envoient des avis de livraison de colis falsifiés qui ont été conçus pour imiter les messages provenant de services de livraison de colis légitimes spécifiques à chaque pays attaqué.
Le cheval de Troie Wroba est toujours développé par les pirates informatiques
Le cheval de Troie Wroba peut affecter les appareils iOS et Android, mais ses objectifs sont différents pour les deux environnements mobiles. Si les utilisateurs d'Android cliquent sur le lien de la fausse notification de livraison de colis, ils sont dirigés vers un site Web corrompu qui tente de les inciter à télécharger le malware qui cette fois est déguisé en une supposée mise à jour du navigateur. Le site Web affirme que le navigateur de l'appareil compromis est obsolète et doit être mis à jour immédiatement. Cette méthode de distribution, cependant, ne fonctionne pas sur les appareils iOS. Au lieu de cela, Wroba redirige les utilisateurs vers une page de phishing qui est créée pour ressembler aussi à une page de connexion Apple que dans une tentative possible de collecter leurs informations d'identification Apple.
Si le cheval de Troie Wroba parvient à infiltrer un appareil avec succès, il peut exécuter un large éventail de fonctions nuisibles. Le cheval de Troie peut accéder aux listes de contacts de l'utilisateur, énumérer les packages installés, superposer les pages de connexion de diverses institutions bancaires avec des pages de phishing pour collecter les informations d'identification du compte, obtenir les détails des transactions financières et tenter de se propager davantage en envoyant de faux SMS.
Alors que Wromba Trojan a la fonctionnalité d'un malware mobile typique à son cœur, ses dernières versions montrent que les pirates derrière lui sont toujours en train de le mettre à niveau. Par exemple, Wroba montre des techniques rarement vues telles que l'utilisation du format MessagePack et du cryptage DES pour masquer le trafic de communication vers son infrastructure de commande et de contrôle (C2, C&C). L'une des dernières tendances parmi les cybercriminels consiste à utiliser des services sociaux légitimes comme emplacements de dépôt pour les données encodées. Le cheval de Troie Wroba suit le rythme et peut également modifier sa liste de serveurs C2 en fonction des informations obtenues à partir des comptes de médias sociaux créés par les pirates.
