Menu Fermer

Trojan Android diffusé par des SMS de faux colis

Les messages de phishing se faisant passer pour Chronopost ou réception/envoi de colis ou en attente sont très utilisés pour diffuser des arnaques ou malware.
J’en avais parlé notamment dans ces articles Faux mail Chronopost et virus ou Virus Chronopost par mail : Trojan:Win32/Wacatac.B!ml et Trojan RAT.

Dans cet article, nous allons voir un Trojan Android diffusé par SMS avec des messages de faux colis.

Trojan Android diffusé par des SMS de faux colis

Un Trojan Banker Android (Trojan-Banker.AndroidOS.Wroba) par SMS de faux colis

La diffusion se fait par SMS avec la réception d’un message du type :

Votre colis a été envoyé. Veuillez le vérifier et le recevoir : http://jnsqi.udph.com

SMS malveillantes reçu indiquant que le colis a été envoyé

On arrive sur une page qui nous indique que pour une meilleur expérience, il faut mettre à jour le navigateur internet Chrome…. En sachant que le navigateur internet utilisé est Mozilla Firefox.

Faux message pour mettre à jour le navigateur Chrome

Puis on vous propose de télécharger un APK.
APK est le format d’exécutable d’Android. Il ne faut jamais ouvrir un APK inconnu, d’ailleurs par défaut Android bloque l’ouverture de fichiers de sources non sûres.
Sur Android, le téléchargement et l’installation d’application se faisant à travers le Google Store, où Google peut bloquer les applications potentiellement malveillantes.

Télécharger APK malveillant - Trojan Android

Le malware est hébergé en France par un opérateur qui se trouve en Chine.
Cela laisse à penser que l’hébergement a été pris à des fins malveillantes.
Les informations sur l’hébergeur :

  • Adresse IP : 134.119.205.19
  • Nom : VELIANET-FR-DENNYZHANG
  • Pays : France
  • Région et Ville : Strasboug (Grand Est)
  • ISP Host Europe GmbH
  • Organisation : denny zhang
  • Network AS29066 Host Europe GmbH (VPN, A10K, TOR)

  • Nom complet : Denny zhang
  • Adresse Email : [email protected]
  • Telephone ; +8613723459117
  • Addresse luohuzhong mishidai guang chang shenzhen (Chine)

Les adresses WEB utilisent du fast flux DNS afin de changer régulièrement et plusieurs fois par jour pour contourner les listes noires des antivirus (même si on peut bloquer sur l’adresse IP).

Adresses malveillantes utilisés par la campagne du Trojan Android

Les détections de l’APK sur VirusTotal :

HASHf890ac6598df51102532695a63e0d8cba3259a392865dfd9b4e8730216db3dd1
Avast-MobileAndroid:Evo-gen [Trj]
Avira (no cloud)ANDROID/Dropper.Agent.GAAK.Gen
BitDefenderFalxAndroid.Riskware.PackMal.SR
CynetMalicious (score: 99)
DrWebAndroid.Banker.493.origin
F-SecureMalware.ANDROID/Dropper.Agent.GAAK.Gen
IkarusTrojan-Dropper.AndroidOS.Agent
KasperskyHEUR:Trojan-Dropper.AndroidOS.Wroba.o
McAfeeGenericRXSG-DE!9C5BC1D5AEFA
RisingDropper.Agent/Android!8.37E (C64:YzY0Onp
TrustlookAndroid.PUA.DebugKey
ZoneAlarm by Check PointHEUR:Trojan-Dropper.AndroidOS.Wroba.o
Détection du Trojan Banker Android sur VirusTotal
Trojan-Dropper.AndroidOS.Wroba détecté sur VirusTotal

L’APK renferme un fichier ELF (binaire Linux) sous la forme d’une librarie libkc.so qui est le coeur du malware Android.
On retrouve les détections génériques.

Trojan-Dropper.AndroidOS.Wroba détecté sur VirusTotal

Trojan-Banker.AndroidOS.Wroba est une famille de logiciels malveillantes qui tente de voler les comptes bancaires mobiles ainsi que les mots de passe à usage unique envoyés par les banques pour l’authentification des clients.
Par exemple en redirigeant les victimes vers de faux sites de banques contrôlés par les pirates.
Cela peut aussi être en remplaçant les formulaires de saisie du site de la banque ou saisie d’informations bancaires afin que les pirates récupèrent ces données.

On voit aussi les permissions de l’APK qui récupère la liste des contacts, capables d’écrire, lire et envoyer un SMS.
En clair, une fois infecté, le téléphone mobile peut aussi être utilisé pour diffuser le malware à ses contacts.

Les permissions du Trojan.AndroidOS.Wroba

Enfin il demande les permissions RECEIVE_BOOT_COMPLETED et LAUNCHER pour se rendre actif au démarrage de l’OS Android.

Conclusion

Rien de vraiment nouveau dans les pratiques avec un SMS trompeur qui mène à un fichier malveillant.
L’utilisateur doit forcer l’ouverture puisqu’il s’agit d’un APK.
Retenez ceci : il ne faut jamais ouvrir un fichier proposé en téléchargeant et de manière général sur Android, il ne faut jamais ouvrir de fichier APK.
Ici le Trojan Banker est particulièrement dangereux et peut causer des dommages financiers à la victime.

Si vous avez malheureusement infecté votre téléphone mobile, je vous conseille de le réinitialiser en suivant les indications du constructeurs.
Ensuite, analysez le téléphone avec deux antivirus pour s’assurer qu’il a bien été éradiqué de votre appareil.

Pour les autres bonnes pratiques, lire :