Si une banque vous envoie vos mots de passe via un message texte, ce cheval de Troie Android pourrait les voler

Pensez-vous toujours qu’une opération malveillante réussie dépend de la capacité de pirates informatiques talentueux à créer un logiciel malveillant sur mesure capable de dissuader les chercheurs en sécurité et les organismes d’application de la loi? Vous voudrez peut-être réfléchir à nouveau. Par exemple, un cheval de Troie bancaire Android récemment découvert sous le nom de Geost a réussi à infecter plus de 800 000 appareils en Russie et en Europe de l’Est, et ses opérateurs ont collecté des informations de connexion qui pourraient potentiellement leur donner accès à des millions d’euros en victimes comptes bancaires.

Ils l'ont lancée pour la première fois en 2016 et ils ont réussi à le garder sous le radar jusqu'au début de cette année, ce qui est encore plus étonnant compte tenu de la multitude d'erreurs de sécurité des opérations (opsec) commises par les escrocs. Avant d’y arriver, voyons comment Geost fonctionne.

Geost - un puissant cheval de Troie bancaire capable de voler vos mots de passe

Le programme malveillant a d'abord été détaillé dans un document de recherche rédigé par Sebastian Garcia de l'Université technique tchèque, Maria Jose Erquiaga de l'Université UNCUYO en République tchèque et Anna Shirokova d'Avast. Les chercheurs ont découvert Geost par accident en passant en revue l'activité de HtBot - un réseau proxy souterrain que les opérateurs de logiciels malveillants louent afin de rediriger leur trafic malveillant.

Lors de la surveillance de la communication, les experts ont constaté un volume de trafic inhabituellement élevé en provenance d'appareils russes. Après une enquête approfondie, ils se sont rendus compte qu'il s'agissait d'une nouvelle source de logiciels malveillants Android, non documentée auparavant.

Les opérateurs de Geost infectent leurs victimes en saisissant des applications Android légitimes, en les piégeant et en les distribuant via des magasins d'applications tiers. Une fois sur l'appareil, le cheval de Troie est capable de voler toutes sortes d'informations, même si son principal objectif est de fournir des mots de passe bancaires.

La plupart des informations d'identification sont volées à partir des messages texte

Sebastian Garcia a déclaré à ZDNet que près de 90% des mots de passe compromis avaient été volés après que la banque les eut envoyés à la victime par SMS.

Même si vous ignorez totalement le fait que des chevaux de Troie tels que Geost peuvent facilement voler des SMS, la pratique consistant à envoyer des mots de passe bancaires en ligne sous forme de SMS (qui semble être relativement courant en Russie) reste une très mauvaise nouvelle, car cela signifie les institutions les stockent dans un format lisible par l’homme.

Pour les banques qui ne transmettent pas d'informations sensibles sur des supports non sécurisés , Geost est conçu pour hausser les informations d'identification à l'aide d'un formulaire à connexion unique.. Les données volées sont redirigées via le réseau proxy HtBot et sont envoyées à l’un des 13 serveurs C & C au moins.

Les facettes d'Opsec ont conduit à la découverte de Geost

Les opérateurs de Geost ne savaient évidemment pas que les chercheurs en sécurité surveillaient le réseau de proxy HtBot qu'ils avaient embauché, mais ils auraient quand même dû se rendre compte qu'avec plus de 800 000 périphériques infectés, l'augmentation du trafic pouvait attirer l'attention sur leur fonctionnement. Cependant, ils ne l'ont pas fait et ils ont aussi oublié qu'ils devraient probablement faire quelque chose pour protéger ces données pendant leur transit.

Les escrocs ne s’étaient pas préoccupés des certificats SSL pour leurs serveurs C & C, ce qui signifie que le trafic entre les périphériques infectés et l’infrastructure d’arrière-plan des escrocs était assez facile à intercepter. Les experts ont jeté un coup d’œil à l’intérieur des C & C et ont compris comment l’opération se déroule dans son ensemble.

Ils ont vu des statistiques sur le nombre de téléphones infectés, sur les banques les plus ciblées, et ont pu constater par eux-mêmes comment le logiciel malveillant exfiltre et traite automatiquement les messages texte. Ce n'était pas tout, cependant.

Tandis qu'ils enquêtaient, les chercheurs sont tombés sur un journal de discussion Skype révélant plus de huit mois de communication entre les opérateurs de Geost. Une fois de plus, l’historique des discussions offre une vue d’ensemble brillante de ce qui se passe lors d’une opération de ce type. Il révélait encore d'autres erreurs opsec telles que le partage de mots de passe C & C en texte clair, et montrait qu'à un moment donné, certains des cybercriminels impliqués dans la campagne n'étaient pas particulièrement satisfaits de ce qui se passait.

Le journal a également révélé des surnoms qui ont été utilisés sur des sites Web et des services publics, et les chercheurs ont déclaré qu'ils essaieraient de surveiller les personnes qui les appuient. Espérons qu'ils parviendront à les atteindre car, malgré toutes leurs gaffes, les opérateurs de Geost ont quand même réussi à lancer une campagne à grande échelle qui s'avère être un succès.