Logiciel malveillant SmsSpy

La campagne de smishing menée par le groupe de hackers Roaming Mantis est toujours en évolution. Les principales cibles de l'opération étaient des utilisateurs de pays asiatiques, mais maintenant les pirates ont déployé un nouveau malware appelé SmsSpy, conçu pour infecter spécifiquement les utilisateurs japonais. L'objectif principal de la souche de logiciels malveillants est de collecter les numéros de téléphone et les messages SMS des appareils Android compromis. La menace est capable de déployer deux versions différentes, en fonction de la version du système d'exploitation Android de l'utilisateur, ce qui entraîne une augmentation substantielle du nombre de victimes potentielles.

Vecteur de compromis initial

L'attaque commence par des messages SMS de phishing qui conduisent les utilisateurs vers une page Web corrompue. Le texte exact du faux message peut varier car les cybercriminels peuvent se faire passer pour une entreprise de logistique qui a besoin d'une confirmation pour un service de la part de l'utilisateur. Dans un autre scénario, les utilisateurs sont censés être avertis des problèmes avec leur compte Bitcoin et sont invités à suivre le lien fourni pour vérifier leurs informations de connexion.

La page de phishing vérifiera ensuite la version Android de l'appareil de l'utilisateur pour déterminer les étapes suivantes de l'attaque. Sur les appareils exécutant Android OS 10 ou version ultérieure, la menace du logiciel malveillant sera déployée en tant que fausse application Google Play. Pour les appareils utilisant Android 9 ou une version antérieure, une fausse application Chrome sera téléchargée à la place.

La fonctionnalité menaçante de SmsSpy

Une fois installée, l'application nuisible demandera à être définie comme application de messagerie par défaut pour que l'appareil puisse accéder aux contacts et aux messages SMS de la victime. L'écran de notification affiché à l'utilisateur correspond à la version de l'application qui a été téléchargée. La variante Google Play se présente comme un service de sécurité censé fournir une protection contre les virus, les logiciels espions, l'anti-hameçonnage et les courriers indésirables. Quant à la fausse application Chrome, elle prévient les utilisateurs que ne pas accepter ses demandes d'autorisations pourrait conduire l'application à ne pas pouvoir démarrer ou limiter ses fonctions.

Ensuite, SmsSpy masquera son icône et tentera d'établir une communication avec son serveur de commande et de contrôle via une communication WebSocket. L'adresse par défaut est intégrée dans le code du malware, mais elle contient également des informations de lien qui s'activent chaque fois que l'emplacement du serveur C2 doit être mis à jour. Les serveurs C2 sont généralement masqués dans la page de profil utilisateur d'un service de blog, mais certains exemples ont également été observés pour utiliser un service de document en ligne chinois dans le même but.

Lors de la négociation initiale, le logiciel malveillant SmsSpy envoie des informations système sur l'appareil infecté, y compris la version du système d'exploitation Android, le numéro de téléphone, le modèle de l'appareil, un ID d'appareil unique et le type de connexion Internet. La menace entrera alors dans un mode d'écoute, où elle restera inactive en attendant les commandes entrantes. Les attaquants peuvent exfiltrer l'intégralité du carnet de contacts et des SMS, envoyer et supprimer des SMS, etc.