Les chercheurs en sécurité de McAfee ont découvert une nouvelle variante plus dangereuse du malware Android XLoader. Il peut se lancer automatiquement sur les appareils Android infectés sans interaction de l’utilisateur. Cette technique permet au malware d’exécuter des activités malveillantes dès son installation.
Android XLoader devient plus dangereux avec la technique d’exécution automatique
XLoader, alias MoqHao, est une famille de logiciels malveillants Android bien connue qui existe depuis au moins 2015. Exploitée par le groupe d’acteurs malveillants Roaming Mantis, cette souche de logiciel malveillant a déjà été utilisée pour cibler les utilisateurs d’Android en France, en Allemagne, au Japon et dans le Sud. Corée, Taiwan, Royaume-Uni et États-Unis.
L’équipe de recherche mobile de McAfee a récemment découvert que MoqHao avait commencé à distribuer une nouvelle variante du logiciel malveillant à l’aide d’une technique d’exécution automatique identifiée pour la première fois en juillet 2022. La méthode de distribution est la même : les attaquants envoient des messages texte contenant un lien raccourci pour télécharger l’application malveillante vers victimes potentielles.
Si un utilisateur sans méfiance clique sur le lien et procède à l’installation de l’application, déguisé en Google Chrome, il devient immédiatement la proie de l’attaque. Contrairement aux variantes précédentes, qui obligeaient les utilisateurs à ouvrir l’application avant que le malware ne devienne actif, la nouvelle variante XLoader peut se lancer automatiquement après l’installation.
Cette technique permet au malware d’exécuter des activités malveillantes en arrière-plan sans interaction de l’utilisateur. Étant donné que l’application est déguisée en Google Chrome, elle permet en outre d’éviter d’être détectée. Il incite les utilisateurs à accorder l’autorisation de toujours exécuter l’application en arrière-plan et d’accéder aux fichiers, aux messages, etc. Le malware demande même aux utilisateurs de se définir comme application de messagerie par défaut, affirmant que cela contribuera à prévenir le spam.
Les attaquants ont organisé ce message contextuel en anglais, coréen, français, japonais, allemand et hindi. Ceci est une indication de leurs objectifs actuels. Une fois la le processus d’initialisation est complet, le malware volonté créer un canal de notification pour afficher des messages de phishing. Il vérifie l’opérateur de l’appareil et ajuste automatiquement les messages de phishing. « MoqHao obtient le message de phishing et URL de phishing du profil Pinterests », rapporte McAfee.
Le malware peut exécuter un large éventail de commandes
Si l’astuce Pinterest échoue, XLoader utilise des messages de phishing codés en dur affichant un problème avec le compte bancaire de l’utilisateur. Il invite l’utilisateur à prendre des mesures immédiates. L’attaquant peut également exécuter un large éventail de commandes à distance. McAfee a signalé 20 commandes que le malware peut recevoir de son serveur de commande et de contrôle (C2) via le protocole WebSocket.
Certaines des commandes les plus dangereuses incluent l’envoi de toutes les photos au serveur de contrôle, l’envoi de tous les messages au serveur de contrôle, l’envoi de nouveaux messages aux contacts, l’exportation des contacts enregistrés, la collecte de l’IMEI, du numéro SIM, de l’identifiant Android, du numéro de série et d’autres identifiants d’appareil. envoyer des requêtes HTTP pour télécharger davantage de logiciels malveillants, et bien plus encore.
Selon McAfee, les appareils Android dotés des services Google Play, qui ont Google Play Protect activé par par défaut, sont protégés contre ce malware. Cependant, il est toujours prudent de télécharger uniquement des applications provenant de sources connues telles que le Google Play Store. Google travaillerait également sur un moyen d’empêcher ce type d’exécution automatique dans une future version d’Android, éventuellement Android 15.
