jeudi 6 août 2020
Promotion Meilleur VPN 2020
Accueil Hacking Une série d’erreurs OpSec dévoile les rouages internes d’un groupe de cybercriminels

Une série d’erreurs OpSec dévoile les rouages internes d’un groupe de cybercriminels

Des chercheurs de l’Université technique de Prague, de l’Université argentine UNCUYO et d’Avast dissèquent le fonctionnement du nouveau botnet Android Geost lors de l’édition 2019 de la conférence Virus Bulletin.

Tribune Avast – Un rare enchaînement d’erreurs OpSec a mené à la découverte d’un nouveau botnet bancaire sous Android ciblant des citoyens russes depuis au moins 2016. Découvert par des chercheurs de l’Université technique de Prague, de l’Université UNCUYO (Argentine) et d’Avast, le botnet Geost a infecté plus de 800 000 smartphones fonctionnant sous Android (selon les estimations des chercheurs) et potentiellement pris le contrôle de plusieurs millions d’euros. Les chercheurs ont découvert une histoire particulièrement édifiante en disséquant les journaux de discussion (chat logs) non chiffrés découverts lors de leur enquête.

Cette découverte inhabituelle a eu lieu lorsque des « botmasters » ont décidé de faire confiance à un réseau proxy malveillant, construit à l’aide d’un malware baptisé HtBot. Ce dernier fournit un service de proxy qui peut être loué pour permettre à ses utilisateurs de communiquer de façon pseudo-anonyme sur Internet. L’analyse des communications sur le réseau HtBot a conduit à la découverte et à la divulgation d’une opération malveillante de grande envergure, qui a infecté plus de 800 000 terminaux Android.

En plus d’un mauvais choix de plateforme d’anonymisation pour masquer leurs traces, les botmasters n’ont pas non plus chiffré leurs communications, offrant aux chercheurs une vue inédite sur leur mode de fonctionnement interne. Les journaux de discussion ont non seulement révélé comment ils accédaient aux serveurs, introduisaient de nouveaux appareils dans le botnet et échappaient aux logiciels antivirus, mais également des informations plus intimes à propos des relations sociales nouées entre les botmasters.

Ainsi, au détour d’une conversation, l’un des membres fait part de sa décision de quitter le groupe. Le responsable l’encourage alors à rester, lui disant : « Alexandre, nous avons commencé ensemble, et nous devons aller au bout. Pour l’instant, tout fonctionne et on peut gagner de l’argent. Ce n’est pas tous les jours qu’on reçoit 100 000 dollars pour une promotion. »

Si la signification du terme « promotion » n’est pas très claire, ce responsable a également pris part à des conversations relatives au blanchiment d’argent et à des paiements utilisant des systèmes appréciés des cybercriminels russes. Une analyse plus poussée a montré comment ces botmasters ajoutent des appareils dans le botnet, les détails de mise en œuvre du cheval de Troie bancaire et l’infiltration du compte bancaire des victimes.

« Nous disposons d’une vue réellement sans précédent sur la manière dont fonctionne ce type d’opérations, a déclaré Anna Shirakova, chercheuse chez Avast. Grâce aux très mauvaises décisions prises par ces hackers pour tenter de cacher leurs actions, nous possédons des échantillons des logiciels malveillants. De plus, nous sommes en mesure d’examiner de façon approfondie la façon dont le groupe opère avec des agents de niveau inférieur pour intégrer des appareils au botnet ; et avec des agents de niveau supérieur pour déterminer les sommes d’argent contrôlées. Au total, plus de huit cent mille personnes ont été victimes de ce groupe, dont le butin potentiel atteint plusieurs millions en devises. »

Botnet Geost et cheval de Troie bancaire

Le botnet Geost semble être constitué d’une infrastructure complexe de smartphones Android infectés. Les appareils sont infectés par des kits d’installation d’applications (APK), qui ressemblent à de fausses applications associées à de faux établissements bancaires et de faux comptes de réseaux sociaux. Une fois infectés, les smartphones se connectent au botnet et sont pilotés à distance. De manière générale, les attaquants accèdent à la fonction SMS pour envoyer des textos, communiquent avec les banques et redirigent le trafic téléphonique vers différents sites. Les botmasters peuvent également accéder à de nombreuses informations personnelles concernant les utilisateurs.

À la suite de l’infection, la fonction de commande et de contrôle (C&C) enregistre la liste complète des textos de toutes les victimes à partir du moment où l’appareil est infecté. Les SMS sont ensuite traités hors ligne dans le serveur C&C pour calculer automatiquement le solde bancaire de chacune des victimes. Par la suite, les chercheurs ont réussi à comprendre le processus utilisé par le botmaster pour connaître les victimes dont le solde était le plus intéressant.

Le botnet s’est appuyé sur une infrastructure complexe comprenant au moins 13 adresses IP C&C, plus de 140 domaines et plus de 140 kits APK. Cinq banques, la plupart établies en Russie, ont été ciblées par ce cheval de Troie bancaire. Toutes les informations sont révélées en détail dans le compte-rendu de cette étude.

Sebastian Garcia, de l’Université technique de Prague, Maria José Erquiaga de l’Université UNCUYO de Mendoza (Argentine), et Anna Shirakova d’Avast ont présenté leurs travaux ce mercredi 2 octobre lors de la conférence Virus Bulletin 2019. L’article complet se trouve ici.

UnderNewshttps://www.undernews.fr/
Administrateur et fondateur du site UnderNews

1 COMMENTAIRE

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

- Advertisment -Express VPN

Derniers articles

36% des Millenials se moquent de la sécurité en ligne

La sécurité en ligne s’impose comme le facteur le plus important pour les Millenials lorsqu’on parle d’usages numériques à la maison. Pourtant, si cette...

Le VPN sans logs d’HMA adoubé par VerSprite, société indépendante de conseil en cyber-risque

La politique de non-collecte et de non-conservation des données d’HMA a reçu la meilleure note possible, suite à l’évaluation des facteurs relatifs à la vie privée indépendante.

Nom d’entreprise : comment réussir à trouver le meilleur ?

L’un des plus grands casse-têtes des nouveaux entrepreneurs est de choisir un nom qui accroche et vend en même temps leurs produits ou services. Élément de l’identité individuelle de l’entreprise, il reflète l’originalité et la philosophie de celle-ci. Vous vous demandez comment bien choisir un nom pour votre entreprise ? Voici quelques conseils.

Comment se protéger sur un casino en ligne

En Septembre 2018, un jeune de 17 ans a réussi à pirater un casino et à détourner 250 000 euros en un mois. Voici comment éviter au maximum ce désagrément.