Comme chaque semaine, le CERT-XMCO partage un bulletin publié durant la semaine écoulée. Cette semaine, nous vous proposons de revenir sur la découverte et l’analyse d’un malware baptisé AnubisSpy.
Description :
Des chercheurs de Trend Micro ont découvert un malware, baptisé AnubisSpy, sur la plateforme de téléchargement d’applications Android Google Play ainsi que sur des plateformes alternatives.
Il était inclus dans de fausses applications se présentant comme liées à des services égyptiens, dont le développement aurait débuté en avril 2015.
Ces dernières ont été retirées de Google Play.
L’analyse des éléments associés au malware (serveurs de contrôle, cibles, structures des fichiers et méthodologie de traitement des données JSON) laisse supposer qu’AnubisSpy aurait été déployé dans le cadre de la campagne d’espionnage Sphinx.
AnubisSpy est capable d’exfiltrer les SMS, les photos, les vidéos, les contacts, les comptes emails, les évènements inscrits dans le calendrier et l’historique des navigateurs Chrome et Samsung Internet Browser. Il peut aussi prendre des captures d’écran et enregistrer les appels téléphoniques transitant par l’appareil infecté.
Les données d’applications tierces (parmi lesquelles figurent Twitter, WhatsApp, Facebook et Skype) peuvent également être récupérées par le malware.
En cas de besoin, AnubisSpy peut « s’autodétruire » pour masquer les traces d’infection. Il peut également exécuter des commandes arbitraires, supprimer des fichiers et installer/désinstaller des applications.
Les chercheurs notent que le code du malware est particulièrement bien construit. Ses fonctionnalités sont séparées en différents modules.
AnubisSpy ciblerait les utilisateurs des pays du Moyen-Orient.
Les chercheurs ont publié un rapport technique complet sur AnubisSpy à l’adresse suivante : https://documents.trendmicro.com/assets/tech-brief-cyberespionage-campaign-sphinx-goes-mobile-with-anubisspy.pdf.
Les URL suivantes ont été associées à AnubisSpy par les chercheurs :
– hxxp://86[.]105[.]18[.]107/2dodo/loriots[.]php ;
– hxxp://86[.]105[.]18[.]107/111fash7/synectics[.]php ;
– hxxp://86[.]105[.]18[.]107/3hood/spelled[.]php ;
– hxxp://86[.]105[.]18[.]107/1swiftclinic/entires[.]php ;
– hxxp://86[.]105[.]18[.]107/7ram/olefiant[.]php ;
– hxxp://86[.]105[.]18[.]107/sinai/freakiest[.]php.
Les empreintes SHA-256 des applications embarquant AnubisSpy identifiées par les chercheurs sont :
– 627f9d0e2711d59cc2571a11d16c950adadba55d95fd4c55638af6a97d32b23 ;
– e00655d06a07f6eb8e1a4b1bd82eefe310cde10ca11af4688e32c11d7b193d95 ;
– 06cb3f69ba0dd3a2a7fa21cdc1d8b36b36c2a32187013598d3d51cfddc829f49 ;
– 0cab88bb37fee06cf354d257ec5f27b0714e914b8199c03ae87987f6fa807efc ;
– 7eeadfe1aa5f6bb827f9cb921c63571e263e5c6b20b2e27ccc64a04eba51ca7a ;
– 0714b516ac824a324726550b45684ca1f4396aa7f372db6cc51b06c97ea24dfd ;
– ad5babecf3a21dd51eee455031ab96f326a9dd43a456ce6e8b351d7c4347330f.
Références :
http://blog.trendmicro.com/trendlabs-security-intelligence/cyberespionage-campaign-sphinx-goes-mobile-anubisspy/
https://documents.trendmicro.com/assets/tech-brief-cyberespionage-campaign-sphinx-goes-mobile-with-anubisspy.pdf
Référence CERT-XMCO :