Chuli.A : un nouveau malware sur les mobiles Android
Lookout, société spécialisée dans les solutions de sécurité pour téléphones mobiles, vient d'annoncer qu'un programme malveillant a été à l'origine d'un harponnage des comptes Email d'activistes tibétains.
Le 25 mars dernier, le compte mail d'un activiste tibétain a été piraté et utilisé pour harponner, par la technique dite du spear-phishing, tous les contacts présents dans son carnet d'adresses. Cette attaque cherchait à faire croire aux personnes visées qu'elles avaient reçu un mail contenant des informations relatives à une conférence destinée aux activistes chinois, tibétains, mongols et turciques organisée lors du "Congrès mondial des Ouïghours" (WUC) organisé du 11 au 13 mars 2013. Le mail contenait une pièce jointe censée être une lettre émanant du WUC, mais il s'agissait en réalité d'un fichier APK pour Android appelé " WC's Conference.apk " contenant une nouvelle souche de programme malveillant appelée Chuli.
Si ce type d'attaque très ciblée contre les appareils mobiles reste marginal, ce n'est pas une première. D'autres souches de programmes nocifs créées spécifiquement pour ces attaques ont déjà été mises au jour par le passé - FinSpy / FinFisher est un exemple conçu pour Android à des fins d'espionnage. L'éditeur Lookout suit de très près cette nouvelle tendance.
Le mode d'attaque
Les dernières versions d'Android (3.0 et supérieures) empêchent les applications de se lancer automatiquement. Chuli a été conçu pour contourner cette protection : le programme se présente comme un support de conférence, s'appelant même " conférence ", une fois qu'il est installé. Il s'agit d'un subterfuge sophistiqué visant à pousser l'utilisateur à exécuter l'application. Et une fois lancé, pour asseoir sa légitimité, Chuli affiche un message prétendant émaner d'un représentant officiel du Congrès mondial des Ouïghours, concernant la conférence. Mais en fait, l'application récupère l'ensemble des SMS, du carnet d'adresses et l'historique des appels présents sur l'appareil, pour les télécharger sur un serveur C&C distant.
Bien que ce serveur soit hébergé aux Etats-Unis, il est en langue chinoise et les noms de domaine qui renvoient vers lui ont été enregistrés le 8 mars 2013 par le déclarant chinois Peng Jia de Pékin, au nom de la société Shanghai Meicheng Technology Information Development Co Ltd. Si ces informations laissent penser que les pirates sont probablement d'origine chinoise, le gouvernement chinois n'est pas pour autant impliqué.
Une fois que le programme malveillant s'est exécuté, le message qui s'affiche provient d'un fichier texte " assets/m.txt ", ce qui laisse penser que ledit message peut facilement être changé pour lancer de nouvelles campagnes ciblées tirant parti d'autres actualités brûlantes.
La construction et son mode de fonctionnement
Le programme malveillant est basé sur deux services principaux : " PhoneService " et " AlarmService ". Le premier est le service d'activation qui s'exécute lors du lancement de l'application. Pour être sûr de se lancer correctement, il se greffe sur le système d'exploitation Android et définit un paramètre de déclenchement du service lorsque l'un des événements suivants survient :
- - l'appareil sort du mode veille
- - le niveau de charge évolue
- - l'état de connexion de l'appareil change
- - l'heure est modifiée
- - le papier-peint est modifié
- - des applications sont ajoutées
- - l'écran s'allume
- - la puissance du signal évolue
- - un échange de données est amorcé
PhoneService effectue trois tâches majeures, la première étant la création d'un identifiant unique pour le téléphone à l'aide de l'horodatage Unix. Ensuite, le service enregistre l'appareil auprès du serveur C&C et, enfin, lance le service AlarmService.
Ce service permet au programme malveillant de se livrer à différentes activités d'espionnage. Sitôt activé, il effectue les tâches suivantes :
- - Il s'accroche au service de SMS d'Android afin que les messages entrants soient transférés au serveur C&C.
- - Il envoie des SMS et communique l'historique des SMS au serveur C&C.
- - Il sollicite des informations sur la position géographique toutes les 10 secondes ou tous les 20 mètres, qu'il envoie ensuite au serveur C&C.
- - Il accède au carnet d'adresses et communique le modèle de l'appareil, la version d'Android ainsi que tous les contacts enregistrés dans le téléphone et sur la carte SIM au serveur C&C.
- - Il lance la fonction " autre " et envoie le journal des appels au serveur C&C.
L'éditeur Lookout a étudié de près le serveur C&C, un serveur Windows sous IIS accompagné d'une page d'accueil créée à la hâte. L'ensemble renforce le sentiment que cette campagne a été lancée en urgence, en prêtant peu d'attention aux petits détails.
Détail intéressant, le serveur C&C publie également sous la forme de liens annexes un identifiant unique pour chaque appareil corrompu. Ces liens ouvrent un panneau de configuration relatif à l'appareil concerné, qui présente un ensemble de fonctionnalités que Lookout n'a pas encore observé dans les échantillons de programmes malveillants étudiés, notamment la possibilité d'installer d'autres logiciels à distance et à l'insu de l'utilisateur. Rien ne prouve que cette fonctionnalité ait été utilisée dans cette implémentation, ce qui peut faire penser qu'un autre morceau de code malveillant a été reconditionné pour cette campagne.
L'avis de Lookout
Etant donné la nature de l'attaque et les cibles visées, on peut penser qu'elle est l'œuvre d'un Etat ou d'un pays. Or plusieurs éléments semblent indiquer qu'il n'en est rien. Certaines portions sont l'œuvre de développeurs amateurs, l'application ne dispose pas d'une icône et elle porte la mention " test ". Qui plus est, l'exécution du programme se révèle moins élaborée que nombre d'applications malveillantes connues, comme par exemple Geinimi. Autant de preuves réfutant l'idée d'une attaque perpétrée par un Etat ou une grande nation.
Il s'agit là d'une nouvelle attaque d'ingénierie sociale ciblée qui exploite des programmes malveillants pour Android, pour prendre le contrôle d'un appareil vulnérable à des fins d'espionnage. Un signe de plus qui vient confirmer la tendance actuelle à l'utilisation de tremplins multiples pour lancer des attaques, en ne se contentant plus de viser seulement des ordinateurs.
Qui est concerné ?
Chuli.A vise des cibles bien précises; seul un ensemble particulier d'appareils est concerné. Les risques d'infection sont donc très faibles. Tous les utilisateurs de Lookout sont protégés. L'éditeur n'a pas constaté d'infection parmi sa base d'utilisateurs. L'équipe Lookout est parvenue à déconnecter le serveur C&C. Une réussite qui rend le programme malveillant inopérant, à moins qu'une nouvelle attaque par harponnage ciblé puisse être lancée depuis un nouveau serveur C&C encodé en dur. La mise hors service du serveur C&C a permis de préserver la confidentialité des données des utilisateurs d'appareils encore infectés.
Comment s'en prémunir ?
- Evitez d'ouvrir des mails de spam. Des messages surprise de vieux amis perdus de vue ayant pour objet " hot news ", " Last all Night " ou encore " You Won $1000 ", montrent clairement qu'il s'agit d'un spam.
- Le bon sens doit être de mise avant de cliquer sur un lien. Si le nom du site web vers lequel il pointe ne vous dit rien, mieux vaut s'abstenir. La prudence doit particulièrement être de mise dans le cas de liens au format abrégé tel que bit.ly ou ABCD, car il est encore plus difficile de juger de l'honnêteté du site en question.
- Si votre appareil mobile lance subitement le téléchargement d'un fichier sans aucune action de votre part, ne cliquez surtout pas dessus et supprimez-le immédiatement.
- Téléchargez une application de protection mobile telle que Lookout, qui passe au crible les contenus à la recherche de programmes malveillants éventuels.
Lookout Mobile Security pour Android est disponible en version Gratuite et en version Premium (2,49 € / mois ou 24,99 € / an). A noter que Lookout offre 14 jours d'essai pour essayer la version Premium. Pour plus d'informations sur Lookout, rendez-vous sur le Blog Lookout ou téléchargez l'application sur le kiosque Google Play.