Smishing : Une campagne malveillante active en Europe

0
149

Les chercheurs en sécurité de chez FireEye ont découvert qu’une campagne massive de type Smishing (phishing via SMS) est active et propage des malwares dans plusieurs pays.

Il s’agirait de campagnes similaire à RuMMS, ayant ciblé les appareils Android en Russie au mois d’avril. Cette fois, ce sont pas moins de 3 campagnes malveillantes qui cibles plusieurs pays européens avec le même modèle de propagation : le Smishing, ou hameçonnage par SMS/MMS.

Contrairement à la campagne RuMMS, ces trois campagnes en Europe exploitent des techniques de superposition (idem que le malware SlemBunk) pour imiter des interfaces légitimes d’applications, puis en incitant ensuite les utilisateurs à fournir leurs coordonnées bancaires. Voici le schéma global de la menace mise en avant par FireEye :

Fig1

Il s’agit du processus montrant la façon dont se propagent les logiciels malveillants via le Smishing, dans le but d’infecter les utilisateurs Android. Le principe est le suivant : les attaquants placent un serveur de commande et de contrôle (C&C) puis délivrent les malwares et envoient les SMS piégés aux victimes par le biais de sites Web tiers piratés.

Dès que l’application en question est active sur un appareil cible, le malware lance un processus de surveillance actif en arrière plan. Lorsque l’utilisateur lance une application bénigne au premier plan (par exemple une application bancaire), le malware est alors programmé pour se superposer à la vue de celle-ci en l’imitant à la perfection. L’utilisateur non averti, saisira alors ses informations bancaires critiques, qui sont ensuite interceptés et envoyés à des serveurs distants contrôlés par les attaquants.

Les chercheurs de FireEye ont découvert entre février et juin 2016 55 binaires malveillants utilisés dans une série de campagnes de type Smishing, ciblant différents pays en Europe. Tous les échantillons de logiciels malveillants utilisent la même technique de superposition des vues applicatives, principalement à l’encontre des applications bancaires.

Le Danemark et l’Italie ont été particulièrement touchés en début d’année, de la même façon que l’Allemagne en mars 2016 et l’Autriche en avril/mai 2016. A chaque fois, les fonctions clés des échantillons sont identiques mais ils évoluent régulièrement à chaque campagne. Par exemple, des applications de messageries ont aussi été la cible des malwares depuis les derniers mois, alors que la menace ne se concentrait jusqu’alors uniquement sur les applications bancaires. De plus, des techniques d’obfuscation ont été adoptées pour éviter la détection et l’analyse de la menace.

Certains échantillons parmi les plus récents sont même capables de contourner la restriction d’écriture de SMS appliquée par le Service Ops App, introduite dans Android 4.3. Tout cela suggère que les acteurs de la menace améliorent activement leur code.

Tout est bon pour diffuser les campagnes de Smishing en Europe : nom de domaines auto-enregistrés, sites Web compromis et services de raccourcissement d’URL. Depuis février 2016, les chercheurs ont observé l’utilisation de 27 liens Bit.ly. Et depuis juin 2016, trois autres raccourcisseurs d’URL sont utilisés (tr.im, jar.mar et is.gd). Cela prouve que les attaquants souhaitent diversifier les URL de base afin de réduire la détection.

Fig2

Au total, 12 serveurs de contrôle hébergés dans cinq pays différents ont été identifiés pour avoir participer aux différentes campagnes d’infection. Les services de raccourcissement d’URL fournissent des outils statistiques, ce qui a permis de recueillir le nombre d’utilisateurs ayant cliqué sur les liens malveillants (et donc potentiellement infectés) : ce sont pas moins de 161 349 clics sur les 30 URLs courtes pointant vers le malware qui ont eu lieu depuis des appareils Android !

Pour attirer les utilisateurs vers ces liens, les noms de domaine ont souvent été conçus avec soin pour chacune des campagnes particulières. Par exemple, dans la précédente campagne MPay-Danemark, les acteurs de la menace ont détourné le fournisseur danois de services postaux pour les messages Smishing :

“Vous avez reçu un MMS à partir de XXX. Suivez hxxp://mms4you.xxx/mms.apk pour afficher le message”.

Par la suite, de nombreux domaines différents ont été exploités, tous ressemblants : mmsforyou.pw, mmsservice.pw et mmstildig.net. Dans la campagne Post Danmark, les messages de Smishing étaient adressés comme tel :

“Votre colis est disponible pour le ramassage. Suivez hxxp://PostDanmark.org/post.apk pour voir toutes les informations sur votre colis.”

La encore, des variantes ont été utilisées : postdanmark.net, PostDanmark.online, postdanmark.menu et postdanmarks.com. Notez que le site officiel de PostDanmark est “www.postdanmark.dk”, donc toutes ces URL de phishing ont effectivement imité le site officiel du service.

Le cas de la France

Si vous êtes attentifs, vous avez surement déjà reçu ce type de SMS sur votre smartphone ! A la rédaction d’UnderNews, le rythme est généralement d’un message tous les 10 jours, pointant à chaque fois vers un domaine différent.

Il est toujours question de récupérer un mystérieux MMS reçu mais non lisible directement. Ne vous laissez pas piéger et supprimez directement le message !

Les URL raccourcies sont parfaites pour le mobile et donc fortement exploitées. bit.ly est le plus populaire et le plus exploité.

 

 

Rapport complet disponible sur le blog FireEye.