Le spyware Cerberus se propage via des serveurs MDM

Une nouvelle variante du cheval de Troie Cerberus a été repérée. Cette variante a des capacités de collecte d’informations considérablement étendues et plus sophistiquées, et la possibilité d’exécuter TeamViewer.

Cette nouvelle variante de Cerberus était utilisée dans une campagne ciblant un conglomérat multinational. Exceptionnellement, l’échantillon s’est propagé à travers chez les employés via le serveur MDM (Mobile Device Management) de l’entreprise infectée.

Cerberus est apparu pour la première fois en août dernier sur des forums clandestins, proposés avec un modèle de location MaaS (malware-as-a-service). À l’époque, Cerberus était présenté comme un cheval de Troie bancaire standard qui se démarquait principalement par la façon dont il détermine s’il fonctionne dans un environnement sandbox: il utilise le capteur d’accéléromètre de l’appareil pour implémenter un compteur de pas. Il active les fonctions de Cerberus dès qu’il atteint un seuil pré-configuré.

À l’époque, les chercheurs de ThreatFabric ont déclaré que Cerberus était clairement toujours en développement actif, avec un ensemble limité de fonctionnalités. Cependant, les analystes de Check Point ont découvert plus tôt cette année un échantillon actualisé, montrant que Cerberus est allé bien au-delà de ses capacités initiales pour devenir un logiciel espion à part entière.

cerberus

Le dernier échantillon de Cerberus peut dérober toute une série d’informations sur les utilisateurs, telles que les journaux d’appels, les SMS, les informations d’identification et les applications installées. Et peut-être le plus dommageable, les cybercriminels peuvent obtenir un contrôle à distance complet de l’appareil en exécutant l’application d’accès à distance TeamViewer.

“Cette nouvelle variante est équipée de plus que le malware bancaire moyen – elle a des capacités d’accès à distance mobile (MRAT)”, selon le rapport de Check Point cette semaine. «Ces fonctionnalités incluent l’enregistrement de toutes les frappes sur l’appareil (informations d’identification incluses), le vol des données Google Authenticator et de tout SMS reçu (authentification à deux facteurs incluse) et la commande à distance de l’appareil via TeamViewer.»

Cerberus: un spyware à part entière

Lorsque les chercheurs ont jeté un coup d’œil sous le capot de la nouvelle variante, ils ont remarqué que le logiciel malveillant, une fois installé, affiche d’abord une fenêtre qui prétend être une mise à jour pour le service d’accessibilité du téléphone. Si elle est ignorée, la fenêtre continue d’apparaître jusqu’à ce que l’utilisateur accepte la mise à jour.

Une fois que l’utilisateur accepte, le logiciel malveillant utilise ensuite le service d’accessibilité pour cliquer automatiquement sur les options de menu et contourner l’interaction de l’utilisateur. Par exemple, l’application enregistre récepteur pour les SMS et utilise cela pour collecter les messages SMS entrants et les envoyer au serveur de commande et de contrôle (C2). Il recueille également des informations sur les empreintes digitales des appareils et un ensemble d’autres données potentiellement sensibles.

“Le module principal peut utiliser le service d’accessibilité pour voler les informations d’authentification Google, les mots de passe Gmail et les modèles de déverrouillage du téléphone”, selon le document. «Ce module peut envoyer au C2 une liste de fichiers et d’applications installées, et peut même télécharger un fichier spécifique à la demande du serveur C2. De plus, toutes les frappes de l’utilisateur sont enregistrées et envoyées au serveur, montrant au pirate toutes les activités en cours sur l’appareil. Le logiciel malveillant attend que l’application Google Authenticator soit accédée, auquel cas toutes les informations disponibles sont lues et stockées pour être envoyées au C2. “

Il exécute également l’application TeamViewer tout en gardant l’appareil déverrouillé. Lors de l’exécution de TeamViewer sur des appareils Samsung, le logiciel malveillant utilise Samsung KNOX pour accorder automatiquement des autorisations. Le module bloque également les tentatives de désinstallation de TeamViewer et empêche l’utilisateur de l’utiliser lui-même, afin de ne pas interférer avec les actions de l’attaquant sur l’appareil.

L’une des autres fonctions de l’application principale est de recevoir un fichier DEX du C2, qui est un module de payload supplémentaire.

“L’application reçoit une liste de commandes à exécuter – qui sont configurables par le pirate”, selon l’analyse Check Point. «Une fois la commande appropriée reçue, le logiciel malveillant télécharge un fichier DEX encodé et l’enregistre sur le stockage externe de l’appareil sous le nom de« ring0.apk ».»

Ce module est responsable d’autres activités néfastes au-delà de l’exfiltration de données.

«Le module ring0.apk peut collecter tous les contacts, SMS et applications installées et les envoyer au C2», selon Check Point. «Ce module peut également effectuer des actions liées au téléphone, telles que l’envoi de messages SMS spécifiques, l’émission d’appels et l’envoi de demandes de données de service supplémentaires non structurées (USSD). De plus, ce module peut afficher des notifications, installer ou désinstaller des applications et ouvrir des activités contextuelles avec des URL. »

L’USSD, parfois appelé «codes rapides» ou «codes de fonction», est un protocole de communication responsable de la communication entre les téléphones et l’infrastructure d’un opérateur sans fil.

dridex 5ss5c

Le module ring0.apk est également responsable du nettoyage et peut se supprimer à la fois de la liste des administrateurs de l’appareil et de l’appareil lui-même. Il s’octroie également des autorisations et peut récupérer les modules de payload mis à jour.

MDM

Check Point a pris connaissance de la mise à niveau de Cerberus après son infiltration dans un conglomérat multinational. Il a rapidement infecté plus de 75% des appareils de l’entreprise, ce qui a incité l’entreprise à effectuer une réinitialisation d’usine pour tous ses appareils mobiles.

“Nous savons que toutes les informations d’identification utilisées à partir d’un appareil non protégé ont été signalées au serveur C2”, selon le rapport. «Nous savons également que chaque SMS a été intercepté. Cela nous permet de spéculer sur les dommages potentiels pour l’entreprise concernée. »

Il a été constaté que deux applications malveillantes hébergeant le même échantillon Cerberus étaient installées sur un grand nombre d’appareils. Les applications avaient été installées «dans un laps de temps très court», suggérant l’automatisation. Cela a conduit les chercheurs à découvrir que le MDM du client avait été piraté.

«C’est la première fois que nous signalons un incident de distribution de logiciels malveillants mobiles qui utilise le serveur MDM comme vecteur d’attaque», selon Check Point. “La caractéristique la plus importante de MDM, sans doute la raison de son existence et qui est également son talon d’Achille, est un contrôle central unique pour l’ensemble du réseau mobile. Si cette plate-forme est piratée, tout le réseau mobile l’est également.

L’attaque, compte tenu de son déroulement, semblait être une attaque ciblée contre l’entreprise. En termes d’attribution, Check Point a pu déterminer que le C2 écoute sur le port 8888, et il n’y a pas de nom d’hôte, juste une adresse IP russe.

Alors qu’il aurait suffit de bloquer toutes les communications avec le C2 de Cerberus, la société a préféré être prudente et préféré faire une réinitialisation d’usine sur tous les appareils.

“Si un appareil non protégé a été utilisé par un administrateur qui a ensuite tenté d’accéder aux ressources de l’entreprise avec ses informations d’identification, ces informations d’identification, ainsi que les codes SMS d’authentification à 2 facteurs, sont compromis”, ont déclaré les chercheurs. «Ce type de réponse est extrêmement coûteux, à la fois pour effectuer l’évaluation des dommages et pour rétablir l’ensemble du réseau mobile après la réinitialisation d’usine.»

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x