Nécromancien Troyen
En 2019, des chercheurs en cybersécurité ont découvert un problème inquiétant : une application Android légitime sur le Google Play Store avait été compromise par une bibliothèque tierce utilisée par des développeurs pour générer des revenus publicitaires. Cette modification a entraîné la connexion de 100 millions d'appareils à des serveurs contrôlés par des attaquants, qui ont ensuite déployé des charges utiles cachées.
Une situation similaire a refait surface. Des experts en sécurité informatique ont identifié deux nouvelles applications, téléchargées 11 millions de fois sur Google Play, infectées par la même famille de malwares. Il semblerait qu'un kit de développement logiciel non sécurisé utilisé pour intégrer des fonctionnalités publicitaires soit une fois de plus à l'origine de cette situation.
Table des matières
Qu'est-ce qu'un SDK ?
Les kits de développement logiciel (SDK) offrent aux développeurs des cadres prédéfinis qui simplifient et accélèrent le processus de création d'applications en gérant les tâches de routine. Dans ce cas, un module SDK non vérifié, apparemment conçu pour prendre en charge l'affichage de publicités, a été intégré aux applications. Cependant, sous la surface, il permettait des méthodes avancées de communication secrète avec des serveurs compromis. Cela permettait aux applications de télécharger des données utilisateur et du code malveillant, qui pouvait être exécuté ou mis à jour à tout moment.
Comment les chevaux de Troie Necro infectent-ils les appareils ?
La famille de malwares à l’origine des deux campagnes s’appelle Necro. Dans ce cas, certaines variantes utilisent des techniques avancées comme la stéganographie, une méthode d’obscurcissement rare dans les menaces mobiles. Certaines variantes utilisent également des méthodes sophistiquées pour diffuser un code frauduleux capable de fonctionner avec des privilèges système élevés. Une fois qu’un appareil est infecté, il communique avec un serveur de commande et de contrôle contrôlé par l’attaquant. Il envoie des données JSON chiffrées qui rapportent des détails sur l’appareil compromis et l’application qui héberge le module frauduleux.
Le serveur répond ensuite avec un message JSON qui inclut un lien vers une image PNG et des métadonnées contenant le hachage de l'image. Si le module sur l'appareil infecté vérifie le hachage, il procède au téléchargement de l'image.
Les chercheurs ont expliqué que le module SDK utilise un algorithme stéganographique simple. Une fois le contrôle MD5 réussi, il extrait le contenu du fichier PNG, en particulier les valeurs de pixels des canaux ARGB, à l'aide d'outils Android standard. La méthode getPixel récupère une valeur où l'octet le moins significatif contient le canal bleu de l'image, et le malware commence son traitement à partir de là.
Le cheval de Troie nécromancien pourrait entraîner de graves conséquences
Les charges utiles suivantes installées par le malware téléchargent des plugins frauduleux qui peuvent être personnalisés pour chaque appareil infecté afin d'effectuer diverses actions. L'un de ces plugins permet d'exécuter du code avec des privilèges système élevés. Normalement, Android empêche les processus privilégiés d'utiliser WebView, un composant permettant d'afficher des pages Web dans les applications. Pour contourner cette restriction, Necro utilise une technique connue sous le nom d'attaque par réflexion pour créer une occurrence distincte de la fabrique WebView.
De plus, ce plugin peut télécharger et exécuter d'autres fichiers qui modifient les liens affichés via WebView. Avec des droits système élevés, ces exécutables peuvent modifier les URL pour insérer des codes de confirmation pour les abonnements payants et télécharger et exécuter du code à partir de liens contrôlés par l'attaquant. Les chercheurs ont identifié cinq charges utiles distinctes lors de leur analyse de Necro. De plus, la structure modulaire de Necro offre de nombreuses façons au malware de fonctionner.
Le cheval de Troie Necro a été trouvé dans deux applications
Les chercheurs ont identifié Necro dans deux applications sur Google Play. L'une d'elles, Wuta Camera, a été téléchargée 10 millions de fois. Les versions 6.3.2.148 à 6.3.6.148 de Wuta Camera contenaient le SDK malveillant responsable des infections, mais l'application a depuis été mise à jour pour éliminer le composant nuisible. Une autre application, Max Browser, avec environ 1 million de téléchargements, a également été compromise ; cependant, elle n'est plus disponible sur Google Play.
Les chercheurs ont également découvert que Necro infectait une série d'applications Android proposées sur des marchés alternatifs. Ces applications se présentent généralement comme des versions modifiées d'applications légitimes, notamment Spotify, Minecraft, WhatsApp, Stumble Guys, Car Parking Multiplayer et Melon Sandbox.
