Acceuil / Malwares / Vulnerabilités / Firestarter … un nouveau malware pour Android

Firestarter … un nouveau malware pour Android

Le groupe de piratage (DoNot) utilise un nouvel outil pour télécharger des logiciels malveillants pour Android appelé Firestarter, en utilisant un service de messagerie légitime de Google pour contourner la détection.

DoNot utilise une solution de messagerie et de notification cloud multi-plateforme pour Android, iOS et applications Web (FCM), fournie par Firebase, une filiale de Google.

Firestarter utilise une solution cloud (FCM) comme mécanisme pour se connecter aux serveurs C2 de DoNot, évitant ainsi la détection des activités de groupe.

Les chercheurs de Cisco Talos ont déclaré: Nos recherches ont révélé que DoNot testait de nouvelles technologies pour maintenir un pied dans les appareils de la victime.

Ils ont ajouté: Ces expériences témoignent de la volonté du groupe de continuer à fonctionner, malgré sa vulnérabilité, ce qui en fait un acteur particulièrement dangereux opérant dans la zone d’espionnage.

DoNot se concentre sur l’Inde et le Pakistan et est connu pour cibler les représentants du gouvernement pakistanais et les organisations à but non lucratif du Cachemire.

Et les chercheurs ont déclaré: Les utilisateurs sont invités à installer l’application malveillante dans l’appareil, et cela se fera probablement par le biais de messages directs utilisant l’ingénierie sociale.

Une fois qu’ils ouvrent l’application – qui est censée être une plate-forme de discussion – les utilisateurs reçoivent un message indiquant que les chats se chargent constamment, que l’application n’est pas prise en charge et que le processus de désinstallation est en cours.

L’icône est supprimée de l’interface utilisateur dès que le message de désinstallation apparaît, bien qu’elle apparaisse toujours dans la liste des applications dans les paramètres du téléphone.

En arrière-plan, l’application malveillante tente de télécharger le code à l’aide de la solution FCM.

Selon Firebase, l’implémentation FCM comprend deux composants principaux pour l’envoi et la réception de messages.

Cela inclut un serveur d’applications avec lequel les messages peuvent être créés, ciblés et envoyés; L’application iOS, Android ou Web reçoit les messages.

L’application malveillante envoie un code FCM au serveur C2 avec diverses informations sur l’appareil, notamment: la géolocalisation, l’adresse IP, l’IMEI et l’adresse e-mail des victimes, permettant aux opérateurs de spécifier que la victime doit recevoir le code.

 

A propos de admin-ouss

Je suis un Ingénieur en Cybersecurité, passionné par les nouveautés dans le monde cybernétique. Je vous ramène à travers mes articles les nouveautés du monde de la sécurité informatique.

Consulter aussi cet article :

Les cyberattaques et malwares les plus spectaculaires de 2020 !

Rien n’était normal en 2020. Nos idées de travailler à partir de bureaux, de réunions …

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *