Cyberattaque des soldats Israëliens par le Hamas

Jonathan Shimonovich, Responsable de la recherche mobile chez Check Point Software Technologies

Le succès de ces cybercampagnes mobiles est le résultat de deux facteurs principaux : la dépendance croissante de chacun d’entre nous à nos téléphones mobiles et aux applications qui y sont installées, et le fait que la plupart d’entre nous n’a pas conscience de la facilité avec laquelle il est possible d’utiliser les téléphones mobiles comme vecteurs d’attaque.

De nos jours, la plupart des logiciels malveillants connus sont adaptés aux téléphones mobiles. Nos études montrent que seulement 3 % des entreprises dans le monde utilisent une protection adéquate pour leurs téléphones mobiles, alors qu’en 2019 seulement, 27 % des cyberattaques dans le monde visaient des téléphones mobiles.

L’incident d’aujourd’hui montre comment le Hamas a profité de cet état de fait.

En essayant d’atteindre des soldats par le biais de leurs téléphones mobiles, le Hamas a profité du fait qu’ils n’étaient pas assez prudents avec leurs téléphones.

Ces dernières années, nous avons vu le Hamas utiliser le même type de stratagème à trois occasions différentes, la plus récente ayant pour thème la Coupe du monde de football de 2018. Le processus est le même : utiliser de faux profils sur les réseaux sociaux pour générer des interactions sociales et ensuite inciter les victimes à télécharger des applications via des liens envoyés par ces faux comptes.

Ces applications ne sont généralement pas disponibles dans les app stores officielles, et elles contiennent des logiciels malveillants qui facilitent les attaques.

Les mesures suivantes peuvent rendre nos téléphones mobiles plus sûrs contre ce type d’attaques :

Logiciels malveillants Android du Hamas destinés aux soldats de l’armée israélienne :  voici comment cela s’est passé

Un porte-parole de l’IDF a révélé que l’IDF (Armée de défense d’Israël) et l’ISA (Service de sécurité intérieure israélien, appelé également « Shin Bet ») ont mené une opération conjointe pour faire tomber une opération du Hamas appelée « Rebound » et visant les soldats de l’IDF.

Dans cet article, nous en décrivons les fonctions et fournissons une analyse technique des logiciels malveillants utilisés, puis précisons l’affiliation avec le groupe APT-C-23.

Nous avons déjà signalé de précédentes attaques de ce groupe au Moyen-Orient.

Analyse technique :

Un cheval de Troie d’accès à distance est déguisé en application de rencontre, portant notamment le nom « GrixyApp », « ZatuApp » et « Catch&See ». Toutes ces applications sont dotées d’un site web dédié et d’une description conforme à une application de rencontre.

La victime reçoit un lien pour télécharger l’application malveillante d’un opérateur du Hamas se faisant passer pour une femme séduisante. Une fois installée et exécutée, l’application affiche un message d’erreur indiquant que l’appareil n’est pas pris en charge, et l’application se désinstalle d’elle-même. En réalité, l’application ne fait que cacher son icône.

Pendant qu’elle se cache, l’application communique avec ses serveurs de commande et de contrôle via le protocole mqtt, qui sont les mêmes serveurs que ceux ayant servi à télécharger l’application.

La principale fonction de ce logiciel malveillant est de collecter des données sur la victime, telles que son numéro de téléphone, sa géolocalisation, ses SMS, etc. Il a également la possibilité d’étendre son code via une commande. Lorsqu’elle est déclenchée, cette commande reçoit une url vers un fichier .dex, que l’application télécharge et exécute.

Les tactiques, techniques et procédures (TTP) utilisées dans cette nouvelle vague d’attaques sont similaires à celles utilisées dans de précédentes campagnes du groupe APT-C-23. Tout d’abord, ce groupe de pirates est connu pour avoir développé des portes dérobées pour les appareils Android déguisées en applications de chat.

Ensuite, des sites web dédiés et spécialement conçus sont mis en ligne par le groupe pour promouvoir ces portes dérobées, expliquer leur fonctionnalité et proposer un lien direct pour les télécharger. Ces domaines, ainsi que d’autres utilisés pour les communications avec les serveurs de commande et de contrôle par des échantillons connus d’APT-C-23, sont généralement enregistrés via NameCheap. C’est également le cas des sites web nouvellement découverts.

Enfin, les échantillons malveillants affiliés au groupe APT-C-23 faisaient référence à des noms d’acteurs, de personnages de télévision et de célébrités, à la fois dans le code source et dans les communications avec les serveurs de commande et de contrôle. Bien que les nouvelles portes dérobées ne comportent pas ces références, nous avons pu voir des références à des célébrités et des personnalités connues telles que Jim Morrison, Eliza Doolittle, Gretchen Bleiler et Dolores Huerta, sur le site web de la porte dérobée catchansee[.]com.

Cette campagne illustre à quel point les efforts des développeurs de systèmes ne suffisent pas à créer un écosystème Android sécurisé. Les développeurs de systèmes, les fabricants d’appareils, les développeurs d’applications et les utilisateurs doivent combiner leurs efforts afin que les vulnérabilités soient corrigées, et que les correctifs soient diffusés et installés à temps.

C’est également un autre exemple de la raison pour laquelle les entreprises et les consommateurs devraient disposer d’une solution avancée de prévention des menaces mobiles sur l’appareil, pour se protéger contre l’installation à leur insu d’applications malveillantes, même à partir d’app stores de confiance.

Quitter la version mobile