Comment une application malveillante a ciblé les supporters de la FIFA au Qatar
Récemment, une application mobile a été découverte sur Facebook. À première vue, il s'agissait d'une application innocente de mise à jour sur la Coupe du monde de la FIFA, mais sous l'eau, elle s'est révélée être une application malveillante permettant aux attaquants d'extraire des informations et des fichiers personnels.
Les smartphones étant devenus le prolongement de notre main, il est logique que les gens soient toujours à la recherche d'applications différentes qui répondent à leurs besoins. Si vous êtes un fan de football et que vous souhaitez suivre la Coupe du monde de la FIFA au Qatar, une application vous permettant de recevoir les résultats des équipes et de regarder les matchs en direct peut sembler une bonne idée.
Pour tenter de répondre à ce besoin, une application a vu le jour sur Facebook, qui, à première vue, semble fournir les scores des matchs, des informations et même la retransmission en direct de certains d'entre eux. Cependant, l'application fait quelque chose de plus en arrière-plan, à savoir infecter l'appareil mobile et permettre aux attaquants d'extraire des informations et des fichiers personnels.
**Disclaimer** : L'application est toujours distribuée par les sources mentionnées ci-dessous. Le serveur CandC de l'application est toujours actif. Utilisez les informations fournies sur cette page à vos risques et périls.
L'application a été découverte pour la première fois par ESET le 25/11/2022. Il pourrait y avoir plusieurs groupes Facebook liés à cette application, comme celui présenté ci-dessous.
Ce groupe Facebook et tous les autres redirigent simplement l'utilisateur vers l'URL *kora442[.]com*, qui est la page principale distribuant l'application malveillante. Cette page web est toujours en ligne au moment de la rédaction de ce billet de blog et a l'apparence suivante.
Vous trouverez ci-dessous les détails de l'application.
Détails du paquet
- Nom de l'application : Kora 442
- Nom du paquet : com.app.projectappkora
- Code de la version : 1
- Nom de la version : 1.0
- SDK minimum : 21
- SDK cible : 21
- Sha256: 3f19efe7ea5aed42c2876683278a4afffc5a696c5ecb5dec5319ff715a673474
- Autoriser la sauvegarde : false
Après l'installation, un écran s'affiche avec toutes les autorisations requises par l'application :
Si nous tentons de supprimer l'une des autorisations, le message suivant apparaît :
Le message informe l'utilisateur que si l'une des autorisations est refusée, l'application risque de ne pas fonctionner comme prévu. C'est la raison pour laquelle les développeurs de l'application ont décidé d'utiliser le SDK cible de niveau 21. Il est ainsi plus facile pour les utilisateurs insoupçonnés d'accepter toutes les autorisations en une seule fois et de continuer à utiliser l'application.
La figure suivante montre l'apparence de l'application après son installation ainsi qu'une partie du trafic qu'elle génère :
Initialement, lorsque l'application était installée sur un appareil virtuel, aucun signe d'activité malveillante n'était présent. Une enquête plus approfondie a révélé que les développeurs étaient prudents et avaient mis en œuvre plusieurs contrôles pour éviter que l'application ne s'exécute dans de tels cas. Le trafic généré vers le serveur de commande et de contrôle (CandC) (firebasecrashanalyticz[.]com), comme le montre la figure ci-dessus, ne s'est produit qu'après avoir contourné ces contrôles.
Les autres caractéristiques intéressantes de l'application sont les suivantes :
- Exfiltration cryptée de fichiers/dossiers
- Enregistrement des appels et des sons
- Accès à la caméra
- Exécution de commandes dans l'interpréteur de commandes (vérification de l'accès du superutilisateur)
Presque immédiatement après que l'utilisateur a commencé à utiliser l'application, un service commence à surveiller l'appareil en arrière-plan. Par exemple, le presse-papiers est surveillé et tout ce qui est copié est enregistré dans un fichier temporaire dans le stockage local de l'application, qui est ensuite zippé et protégé par un mot de passe, puis lentement téléchargé vers le serveur. Les développeurs ont fait du bon travail en restant furtifs pendant l'exfiltration, en évitant les opérations parallèles qui entraîneraient une consommation excessive de ressources.
Au moment de la rédaction de ce billet de blog, l'application a déjà réussi à infecter plus de 1000 utilisateurs. Vous trouverez ci-dessous une analyse rapide du fuseau horaire des utilisateurs infectés.
Près de 90 % des utilisateurs ont le fuseau horaire "Asie/Jérusalem", ce qui signifie très probablement que les développeurs se trouvent également dans le même fuseau horaire ou que les infections sont ciblées sur une région.
Le nombre d'utilisateurs infectés continuera d'augmenter chaque jour jusqu'à ce que le serveur hébergeant l'application et l'API soient arrêtés.
Conseils à suivre pour repérer les applications malveillantes :
- Le premier, et peut-être le plus important, est de ne télécharger que des applications vérifiées ou des applications qui ont un grand nombre d'utilisateurs ( 100K).
- Consultez les commentaires laissés par d'autres utilisateurs sur l'application en question et faites attention à ceux qui comportent une demi-étoile.
- Si une application vous demande un nombre excessif d'autorisations, soyez très vigilant.
- Soyez attentif à tout comportement inhabituel, comme des fenêtres publicitaires intempestives que vous n'aviez pas auparavant.
- Vérifiez que vous n'utilisez pas de données de manière inhabituelle. Comme dans le cas de l'application que nous avons vue plus haut, une fois que le téléchargement des fichiers est terminé, vous devriez le remarquer dans l'utilisation des données.
- Enfin, envisagez d'utiliser une application de sécurité qui maintiendra les défenses pour vous.
Si vous avez des questions sur ce blog, n'hésitez pas à nous Contactez-nous.