Nouveau RAT voleur de données bancaires Android se déguisant en Google Service Framework

Le malware Android prend lentement et sûrement le pas sur le malware PC. La société de sécurité, FireEye, a identifié un nouveau malware Android qui se déguise en « Google Service Framework » et vole les identifiants bancaires des utilisateurs Android. Ce qui rend ce malware, qui est un RAT (Remote Access Tool), unique, c’est qu’il utilise le Google Service Framework pour tuer les applications antivirus fonctionnant sur les smartphones et tablettes Android.

FireEye déclare que la découverte de ce voleur de données bancaires HijackRAT pourrait être un signe de menaces bancaires plus axées sur Android à l’avenir de la part de son développeur. FireEye a déclaré dans le billet de blog :

« Dans le passé, nous avons vu des malwares Android qui exécutent des fuites de confidentialité, des vols d’identifiants bancaires ou un accès à distance séparément, mais cet échantillon élève le malware Android à un nouveau niveau en combinant toutes ces activités en une seule application. De plus, » ont-ils poursuivi, « nous avons découvert que le hacker a conçu un cadre pour effectuer des détournements bancaires et développe activement vers cet objectif. Nous soupçonnons que dans un avenir proche, il y aura un lot de malwares de détournement bancaire une fois le cadre terminé. En ce moment, huit banques coréennes sont reconnues par l’attaquant, mais le hacker peut rapidement s’étendre à de nouvelles banques avec seulement 30 minutes de travail. »

FireEye a testé ce malware avec huit applications bancaires coréennes et a constaté qu’une fois le malware installé sur l’appareil, le serveur de commande et de contrôle envoie un ordre pour remplacer les applications bancaires existantes. Les applications bancaires Android nécessitent l’installation de ‘com.ahnlab.v3mobileplus’, une application antivirus disponible sur Google Play. FireEye a remarqué que, après installation, le HijackRaT a tué l’application antivirus et a ensuite procédé à remplacer l’application bancaire. Ce comportement permet au RAT d’éviter la détection après installation, tant de l’application antivirus que de l’utilisateur Android, qui est sous l’impression que l’application bancaire qu’il/elle utilise est authentique.

• Expliquant le modus operandi de ce RAT, le blog dit :

« Le nom du package de ce nouveau malware RAT (outil d’accès à distance) est « com.ll » et apparaît comme « Google Service Framework » avec l’icône Android par défaut, les utilisateurs Android ne peuvent pas supprimer l’application à moins de désactiver ses privilèges administratifs dans ‘Paramètres’. Jusqu’à présent, le score Virus Total de l’échantillon n’est que de cinq détections positives sur 54 fournisseurs d’antivirus. Ce nouveau malware est publié rapidement en partie parce que le serveur CNC, que le hacker utilise, change si rapidement. »

Le fonctionnement du malware est donné dans une analyse détaillée sur le blog de FireEye, cependant nous tentons d’expliquer brièvement son fonctionnement. Une fois l’application contenant la charge utile du malware installée, l’icône des services Google apparaît sur l’écran d’accueil. Lorsque l’utilisateur Android clique sur cette icône, un nouvel écran apparaît demandant des privilèges administratifs comme toute autre application Android. Une fois que l’utilisateur accepte et accorde les privilèges au malware, l’option de désinstallation est désactivée et un nouveau service nommé « GS » est lancé. Cependant, ceci n’est qu’un camouflage pour le malware, si l’utilisateur clique sur l’icône GS, l’appareil affiche un message « L’application n’est pas installée » et se retire ensuite de l’écran d’accueil. Maintenant, le HijackRAT est en opération et si l’utilisateur est en ligne, en quelques minutes, l’application se connecte au serveur de commande et de contrôle situé à Hong Kong et reçoit une liste de tâches de celui-ci. FireEye dit avoir retracé l’adresse IP à Hong Kong mais n’a pas identifié l’auteur/propriétaire du malware, mais sur la base de l’interface utilisateur du malware, ils croient que le malware est probablement rédigé par un Coréen et cible uniquement les utilisateurs coréens pour l’instant.

« Nous ne pouvons pas dire s’il s’agit de l’IP du hacker ou d’une IP de victime contrôlée par le RAT, mais l’URL est nommée d’après l’ID de l’appareil et le UUID généré par le serveur CNC, »

Les tâches qu’il doit accomplir consistent à essayer de télécharger une application nommée d’après ‘update’ et une abréviation du nom de la banque depuis le serveur de commande et de contrôle, tout en désinstallant simultanément l’application bancaire originale. Lorsque la commande de ‘mise à jour’ est envoyée depuis l’outil d’accès à distance, une application similaire – ‘update.apk’ est téléchargée depuis le serveur de commande et de contrôle et installée sur l’appareil Android. Le malware envoie également tous les détails de l’utilisateur du propriétaire de l’appareil Android au serveur C & C. Ces détails incluent les numéros de téléphone, les ID d’appareil, les adresses MAC et les listes de contacts disponibles dans le smartphone ou la tablette.

• « Étant donné la nature unique de la façon dont cette application fonctionne, y compris sa capacité à extraire plusieurs niveaux d’informations personnelles et à usurper des applications bancaires, une menace de mobile banking plus robuste pourrait être à l’horizon, »

La montée des malwares volant des identifiants bancaires n’est pas une surprise, mais le niveau d’ingéniosité et la sophistication avec laquelle le malware exécute sa charge utile pour se connecter au serveur C & C est un signe inquiétant pour Google, les analystes de sécurité et la communauté Android.