Accueil / IT Business / Communiqués / Lookout découvre une nouvelle campagne d’Anubis visant des centaines d’applications financières.

Lookout découvre une nouvelle campagne d’Anubis visant des centaines d’applications financières.

Les chercheurs de Lookout ont découvert une nouvelle distribution du malware bancaire Android Anubis se faisant passer pour l’application officielle de gestion de compte de la principale société de télécommunications française, Orange S.A. Lookout travaille activement avec Orange pour s’assurer que ses clients sont protégés.

S’appuyant sur une variante du tristement célèbre cheval de Troie bancaire, les attaquants ciblent les clients de près de 400 institutions financières, portefeuilles de crypto-monnaies et plateformes de paiement virtuel. En tant que logiciel malveillant de type trojan bancaire, l’objectif d’Anubis est de collecter des données importantes sur la victime à partir de son appareil mobile afin d’en tirer un bénéfice financier. Cela se fait par l’interception de SMS, l’enregistrement des touches, l’exfiltration de fichiers, la surveillance des écrans, la collecte de données GPS et l’abus des services d’accessibilité de l’appareil.

Cette dernière distribution d’Anubis, dont le nom de paquet est fr.orange.serviceapp, a été soumise à la boutique d’applications Google Play fin juillet 2021, puis rejetée. Les chercheurs de Lookout ont pu avoir un aperçu de cette campagne alors que certaines de ses infrastructures étaient encore en cours de réalisation. Nous pensons avec certitude qu’il s’agissait d’une tentative de tester les capacités de l’antivirus de Google. Nous avons constaté que les efforts d’obscurcissement n’étaient que partiellement mis en œuvre dans l’application et que d’autres développements étaient encore en cours avec son serveur de commande et de contrôle (C2). Nous nous attendons à ce que des distributions plus fortement obfusquées soient soumises à l’avenir.

Qui sont les acteurs de la menace et comment Anubis est-il utilisé ?

Anubis est avant tout un cheval de Troie bancaire. Ainsi, sa fonctionnalité par défaut consiste à surveiller un nombre déterminé d' »applications cibles » de grande valeur dans le but d’acquérir des données personnelles ou des identifiants de connexion à des fins financières. Les applications ciblées sont codées en dur par nom de paquet dans la source du client.

L’échantillon du logiciel malveillant et son infrastructure associée ont révélé très peu de choses sur l’acteur qui se cache derrière cette distribution d’Anubis. Ni les informations de signature associées à l’APK ni les données du certificat ne sont associées à une autre application. Tous les enregistrements WHOIS associés au domaine ont des détails d’enregistrement expurgés. Le nom de domaine lui-même, acheté par NameCheap, se résout à deux serveurs, tous deux partagés par plus de deux mille autres domaines qui ne semblent avoir aucun lien avec cet acteur.

L’évolution d’Anubis

Anubis a connu une évolution significative depuis sa création. En 2016, un utilisateur nommé « maza-in » sur le forum de piratage russophone Exploit[.]in a partagé le code open-source d’un nouveau cheval de Troie bancaire Android avec des instructions sur la façon d’implémenter ses composants côté client et côté serveur.

« maza-in » est réapparu un an plus tard avec la publication d’une vidéo YouTube promotionnelle pour un outil permettant aux utilisateurs de regrouper un Anubis II mis à jour dans une fausse application mobile.

En 2018, les chercheurs de l’entreprise de sécurité ThreatFabric, basée aux Pays-Bas, ont signalé que « maza-in » avait annoncé la sortie d’Anubis 2.5, une itération plus sophistiquée du malware original. Le développeur a apparemment tenté de louer Anubis à titre privé pour un coût, mais le code source a été divulgué peu après. Cette nouvelle version du cheval de Troie bancaire est devenue la base de la version en libre accès d’Anubis, qui continue d’être améliorée et distribuée par d’autres acteurs.

Comment il est distribué

Anubis est maintenant disponible en ligne gratuitement. Les paquets comprennent le panneau d’administration côté serveur et un fichier APK non obscurci avec des messages de journalisation et des commentaires écrits en russe. Il est également cité dans de nombreux tutoriels de « Black Hat hacking » sur les forums du dark et du surface web.

Les chercheurs de Lookout ont découvert et analysé des dizaines de messages de forum où les utilisateurs cherchaient à acheter, louer ou obtenir le code source d’Anubis. Bon nombre de ces utilisateurs ne semblent pas être très techniques si l’on en croit leurs demandes constantes de conseils pour la mise en œuvre du code côté serveur et la création de l’APK Android qui contient le client Anubis. En réponse à ces demandes, des pirates informatiques plus expérimentés ont commencé à proposer le code source d’Anubis, accompagné d’une assistance à la configuration et à la personnalisation, contre rémunération.

Une analyse de cette campagne Anubis

Cette dernière distribution d’Anubis dispose d’un large éventail de capacités, notamment l’exfiltration de données sensibles de l’appareil Android de la victime vers le C2 et la réalisation d’attaques par superposition. Elle a également la capacité de mettre fin aux fonctionnalités malveillantes et de supprimer le logiciel malveillant de l’appareil si nécessaire.

Capacités :

  • Enregistrement de l’activité de l’écran et du son du microphone.
  • Mise en œuvre d’un proxy SOCKS5 pour la communication secrète et le package applicatif.
  • La capture de captures d’écran.
  • Envoi de SMS en masse depuis l’appareil à des destinataires spécifiés.
  • Récupération des contacts stockés sur l’appareil.
  • Envoi, lecture, suppression et blocage des notifications de SMS reçus par l’appareil.
  • L’analyse de l’appareil à la recherche de fichiers intéressants à exfiltrer.
  • Le verrouillage de l’écran de l’appareil et l’affichage d’une note de rançon persistante.
  • Soumettre des demandes de code USSD pour interroger les soldes bancaires.
  • Capture des données GPS et des statistiques du podomètre.
  • Mise en œuvre d’un enregistreur de frappe pour voler des informations d’identification.
  • Surveillance des apps actives pour imiter et réaliser des attaques par superposition.
  • Arrêt des fonctionnalités malveillantes et suppression du logiciel malveillant de l’appareil.

Comment Anubis lance ses attaques

En tant qu’application trojanisée, les utilisateurs supposent que l’application qu’ils ont téléchargée est légitime. Se faisant passer pour « Orange Service », le malware commence son attaque en demandant des services d’accessibilité. Une fois que l’utilisateur a appuyé sur « OK », l’application cache son icône et entame des communications secrètes avec son C2, envoyant des détails sur l’appareil tels que la liste des applications installées. Elle exploite ensuite les services d’accessibilité pour interagir avec l’écran de l’appareil et s’octroyer des autorisations supplémentaires étendues. Ce processus est si rapide que la plupart des utilisateurs ne verront probablement pas l’appareil sélectionner « accepter » les invites de demande d’autorisation.

Une fois que le logiciel malveillant a établi avec succès une connexion réseau et des communications avec son C2, le serveur télécharge une application supplémentaire sur l’appareil qui est responsable de l’initiation du proxy SOCKS5. Ce proxy permet à l’attaquant d’imposer l’authentification des clients qui communiquent avec son serveur et de masquer les communications entre le client et le C2. Une fois récupéré et décrypté, l’APK est enregistré sous le nom de « FR.apk » dans /data/data/fr.orange.serviceapp/app_apk.

Désactiver Google Play Protect

Ensuite, Anubis détecte si Google Play Protect est activé sur l’appareil. Si c’est le cas, le logiciel malveillant incite l’utilisateur à désactiver le service à l’aide d’une fausse fenêtre d’alerte système, en prétendant que cela interfère avec la fonctionnalité du système de l’appareil.

Après avoir obtenu un accès complet à l’appareil, Anubis envoie des pings au C2 à intervalles réguliers avec les données de l’appareil pour maintenir une connexion et recevoir des commandes à exécuter. Il s’agit d’une pratique courante pour les logiciels malveillants qui prennent des repères à partir d’un C2, car elle permet d’alerter l’acteur de tout changement d’état de l’appareil qui pourrait interférer avec son objectif final. Cela permet également à l’acteur de savoir si le malware a été supprimé, ce qui peut l’inciter à cibler à nouveau cette victime.

Applications ciblées

Les implémentations par défaut d’Anubis annoncent 235 applications ciblées. Cependant, la liste des applications ciblées par fr.orange.serviceapp a été étendue à 394 applications uniques, allant des applications bancaires aux applications de cartes rechargeables et aux portefeuilles de crypto-monnaies. Les apps ciblées sont codées en dur dans le code source d’Anubis par nom de paquet. Le malware exécute sa chaîne d’attaque lorsqu’une des apps ciblées est lancée.

Lorsqu’une de ces applications est lancée, Anubis envoie deux paramètres via HTTPS à son C2 : un mot clé associé à l’application et un code pays IMEI. En réponse, le C2 renvoie un fichier PHP rendu contenant des balises HTML et une copie pour une page de phishing personnalisée. Le client Anubis utilise cette réponse pour créer un écran superposé qu’il injecte au-dessus de l’application lancée afin d’inciter l’utilisateur à donner ses informations d’identification.

L’infrastructure C2 : un faux site de trading de crypto-monnaies

Le client Anubis de l’application fr.orange.serviceapp se connecte à un serveur C2 dans le domaine https://quickbitrade[.]com. L’acteur utilise Cloudflare pour rediriger tout le trafic réseau via SSL. Le C2 se fait passer pour un site web d’échange de crypto-monnaies encore en développement.

Connexion du serveur C2 à l’acteur de la menace

L’infrastructure C2 de cette distribution Anubis n’est que partiellement sécurisée. Bien que les communications entre le client et le serveur soient effectuées via SSL, aucune autre mesure de sécurité n’a été mise en place, ce qui nous a permis d’intercepter les communications entre le client Anubis et le C2.

Au sein du serveur web lui-même, seules certaines listes de répertoires ont été désactivées. Alors que les listes de répertoires liées au panneau de l’administrateur ont été cachées, nous avons pu trouver des scripts php presque identiques à ceux de la source côté serveur d’Anubis.

 

Le panneau d’administration par défaut d’Anubis comprend un panneau de surveillance et de contrôle auquel l’attaquant peut accéder. Contrairement à l’infrastructure C2, ces panneaux étaient correctement sécurisés par l’acteur derrière l’application fr.orange.serviceapp. Avec une campagne encore en cours de développement, nous soupçonnons que les attaquants ont donné la priorité à la sécurisation de cette partie du serveur C2, car le panneau d’administration contiendrait des informations telles que les identifiants des appareils infectés, toutes les ressources nécessaires pour injecter les pages de phishing dans le cadre de la fonctionnalité de superposition et d’autres données qui pourraient révéler l’identité de l’acteur.

Anubis va persister

En tant que logiciel malveillant bancaire de base facilement disponible, Anubis continuera d’être développé, ce qui signifie que c’est une menace qui n’est pas prête de disparaître. L’acteur à l’origine de cette campagne semble également être toujours en train de développer l’infrastructure C2 de telle sorte qu’il a l’intention de publier de futures versions du malware.

Bien qu’il soit principalement utilisé comme cheval de Troie bancaire, ses capacités de vol d’informations d’identification mettent en danger toutes les informations de connexion. Il peut s’agir des identifiants de connexion des employés qui sont volés lorsque l’utilisateur tente d’accéder à des applications basées sur le cloud computing, comme Google Drive ou Microsoft Office 365, à partir de ses appareils mobiles.

Comment se protéger contre Anubis

Les clients de Lookout sont protégés contre Anubis et ses distributions tant au niveau des applications que des domaines. Mais que vous soyez client de Lookout ou non, il y a deux bonnes pratiques à suivre pour se protéger contre les logiciels malveillants comme Anubis :

  1. N’acceptez jamais les autorisations qui vous demandent de désactiver les protections de sécurité par défaut comme Google Play Protect.
  2. Ne téléchargez jamais une application à partir d’une source non fiable. Les applications des magasins tiers qui sont téléchargées directement à partir d’un navigateur Web ne sont pas soumises aux mêmes contrôles de sécurité que les applications des magasins d’applications iOS et Google Play.

Comme l’illustre cette campagne d’Anubis, le secteur financier est l’un des secteurs les plus ciblés. Pour en savoir plus sur le paysage des menaces auxquelles le secteur est confronté, lisez le rapport sur les menaces dans le secteur des services financiers.

 

 

A voir

La Banque Postale simplifie son parcours client de déclaration de sinistre avec une solution digitale développée en partenariat avec Shift Technology

Avec plus de 100 000 sinistres Multirisque Habitation par an, La Banque Postale Assurances IARD, filiale assurance dommages de La Banque Postale, a développé en partenariat avec Shift Technology....