Un botnet Android au service des spammeurs

Nous avons reçus ces derniers jours des échantillons de spams qui semblent prouver l’existence d’un botnet sous android.

Ces spams ont tous été émis depuis les services mail de Yahoo, ce sont des “stock spam”, autrement dit des spams faisant la promotion d’une valeur boursière.

En somme rien d’exceptionnel… jusqu’au moment ou un élément à attiré notre attention. En bas de chaque spam figure :

Sent from Yahoo! Mail on Android

En analysant les headers on constate une autre “trace” qui montre que le spam a été envoyé depuis un device Android :

Message-ID: <1341241670.18705.androidMobile@web140302.mail.bf1.yahoo.com>

Vu le nombre d’applications Android qui trainent sur le “marché noir”, il n’y aurait rien d’exceptionnel à ce qu’elles soient nombreuses à héberger des backdoors qui permettent de prendre le controle des appareils sur lesquels elles sont installées.

Quel est l’intérêt pour le spammeur ?
Et bien, ça lui permet d’utiliser l’identité du possesseur du device et surtout d’utiliser les services  associés, dans le cas présent ça lui permet d’utiliser les serveurs mail de Yahoo pour émettre ces spams  et donc passer plus facilement au travers des différents système de filtrage.

 

 

 

Top 10 des expressions les plus fréquentes dans les spams

Enlarge your péniche(© HellgY)

Voici un petit TOP 10 des expressions les plus fréquentes dans les spams anglophones :

  1. Meet Singles – Un des sujets les plus utilisés dans les spams à caractère pornographique.
  2. Work From Home – Trés “vendeur” en ces périodes mouvementées…
  3. Business Opportunity – Essentiellement utilisé pour les spams Nigériens (419).
  4. Buy Direct – Une des phrases favorites des spammeurs souhaitant promouvoir des articles contrefaits ou des medicaments (viagra, cialis, plavix, crestor…).
  5. Clearance – Les spammeurs adorent distiller un sentiment d’urgence pour inciter les victimes à agir sans trop réfléchir.
  6. Pre-approved – Utilisé dans les spams financiers, en particulier pour promouvoir des crédits.
  7. Hello – La fréquence de ette expression n’est pas spécifique aux spams, mais pour le spammeur elle présente l’avantage de créer un lien amical avec sa “victime”. Elle  va penser que c’est une connaissance qui lui envoi un mail et elle va donc plus facilement consulter le message.
  8. You Have Been Selected – Utilisé dans les spams ventant de prétendues lotteries.
  9. Weight Loss – Pour promouvoir des médicaments sensés faire maigrir.
  10. Limited Time – Utilisé dans les sujets des spams pour créer un sentiment d’urgence.

Spams exploitant des QR codes

Les spammeurs ne sont décidément pas à cours d’imagination. Leur dernière trouvaille: utiliser des QR codes dans leurs spams à destination des terminaux mobiles :

Exemple de spam QR code

Spam QR code

Le spam s’apparente un un classique message pour mettre en avant divers produits pharmaceutiques, mais au lieu de contenir l’URL en clair vers le site à promouvoir, il contient un lien renvoyant vers le site 2tag.nl.
Ce service en ligne permet de générer un QR Code correspondant à une URL.
Dés lors, lorsque l’URL en @ 2tag.nl est chargée, le QR code est affiché.

Sachant que certain terminaux mobiles, vont charger automatiquement l’URL correspondant au QR code on comprend tout de suite l’intérêt de ce genre de technique pour les spammeurs.