Des chercheurs de l’Université technique de Prague, de l’Université argentine UNCUYO et d’Avast dissèquent le fonctionnement du nouveau botnet Android Geost lors de l’édition 2019 de la conférence Virus Bulletin.
Tribune Avast – Un rare enchaînement d’erreurs OpSec a mené à la découverte d’un nouveau botnet bancaire sous Android ciblant des citoyens russes depuis au moins 2016. Découvert par des chercheurs de l’Université technique de Prague, de l’Université UNCUYO (Argentine) et d’Avast, le botnet Geost a infecté plus de 800 000 smartphones fonctionnant sous Android (selon les estimations des chercheurs) et potentiellement pris le contrôle de plusieurs millions d’euros. Les chercheurs ont découvert une histoire particulièrement édifiante en disséquant les journaux de discussion (chat logs) non chiffrés découverts lors de leur enquête.
Cette découverte inhabituelle a eu lieu lorsque des « botmasters » ont décidé de faire confiance à un réseau proxy malveillant, construit à l’aide d’un malware baptisé HtBot. Ce dernier fournit un service de proxy qui peut être loué pour permettre à ses utilisateurs de communiquer de façon pseudo-anonyme sur Internet. L’analyse des communications sur le réseau HtBot a conduit à la découverte et à la divulgation d’une opération malveillante de grande envergure, qui a infecté plus de 800 000 terminaux Android.
En plus d’un mauvais choix de plateforme d’anonymisation pour masquer leurs traces, les botmasters n’ont pas non plus chiffré leurs communications, offrant aux chercheurs une vue inédite sur leur mode de fonctionnement interne. Les journaux de discussion ont non seulement révélé comment ils accédaient aux serveurs, introduisaient de nouveaux appareils dans le botnet et échappaient aux logiciels antivirus, mais également des informations plus intimes à propos des relations sociales nouées entre les botmasters.
Ainsi, au détour d’une conversation, l’un des membres fait part de sa décision de quitter le groupe. Le responsable l’encourage alors à rester, lui disant : « Alexandre, nous avons commencé ensemble, et nous devons aller au bout. Pour l’instant, tout fonctionne et on peut gagner de l’argent. Ce n’est pas tous les jours qu’on reçoit 100 000 dollars pour une promotion. »
Si la signification du terme « promotion » n’est pas très claire, ce responsable a également pris part à des conversations relatives au blanchiment d’argent et à des paiements utilisant des systèmes appréciés des cybercriminels russes. Une analyse plus poussée a montré comment ces botmasters ajoutent des appareils dans le botnet, les détails de mise en œuvre du cheval de Troie bancaire et l’infiltration du compte bancaire des victimes.
« Nous disposons d’une vue réellement sans précédent sur la manière dont fonctionne ce type d’opérations, a déclaré Anna Shirakova, chercheuse chez Avast. Grâce aux très mauvaises décisions prises par ces hackers pour tenter de cacher leurs actions, nous possédons des échantillons des logiciels malveillants. De plus, nous sommes en mesure d’examiner de façon approfondie la façon dont le groupe opère avec des agents de niveau inférieur pour intégrer des appareils au botnet ; et avec des agents de niveau supérieur pour déterminer les sommes d’argent contrôlées. Au total, plus de huit cent mille personnes ont été victimes de ce groupe, dont le butin potentiel atteint plusieurs millions en devises. »
Botnet Geost et cheval de Troie bancaire
Le botnet Geost semble être constitué d’une infrastructure complexe de smartphones Android infectés. Les appareils sont infectés par des kits d’installation d’applications (APK), qui ressemblent à de fausses applications associées à de faux établissements bancaires et de faux comptes de réseaux sociaux. Une fois infectés, les smartphones se connectent au botnet et sont pilotés à distance. De manière générale, les attaquants accèdent à la fonction SMS pour envoyer des textos, communiquent avec les banques et redirigent le trafic téléphonique vers différents sites. Les botmasters peuvent également accéder à de nombreuses informations personnelles concernant les utilisateurs.
À la suite de l’infection, la fonction de commande et de contrôle (C&C) enregistre la liste complète des textos de toutes les victimes à partir du moment où l’appareil est infecté. Les SMS sont ensuite traités hors ligne dans le serveur C&C pour calculer automatiquement le solde bancaire de chacune des victimes. Par la suite, les chercheurs ont réussi à comprendre le processus utilisé par le botmaster pour connaître les victimes dont le solde était le plus intéressant.
Le botnet s’est appuyé sur une infrastructure complexe comprenant au moins 13 adresses IP C&C, plus de 140 domaines et plus de 140 kits APK. Cinq banques, la plupart établies en Russie, ont été ciblées par ce cheval de Troie bancaire. Toutes les informations sont révélées en détail dans le compte-rendu de cette étude.
Sebastian Garcia, de l’Université technique de Prague, Maria José Erquiaga de l’Université UNCUYO de Mendoza (Argentine), et Anna Shirakova d’Avast ont présenté leurs travaux ce mercredi 2 octobre lors de la conférence Virus Bulletin 2019. L’article complet se trouve ici.
trés precise et magnifique merci beaucoup pour ces efforts
Les commentaires sont fermés.