Posté le mars 27, 2021 à 11:59
DES CHERCHEURS DÉCOUVRENT UN NOUVEAU LOGICIEL MALVEILLANT DOTÉ DE NOMBREUSES CAPACITÉS D’ESPIONNAGE
Des chercheurs en sécurité ont révélé qu’un nouveau logiciel malveillant doté de nombreuses capacités d’espionnage a été découvert en train de voler des données sur des appareils Android infectés. Le logiciel malveillant est conçu de manière à entrer en action lorsque de nouvelles informations sont prêtes à être exfiltrées.
Cependant, les chercheurs en sécurité ont déclaré que l’installation du logiciel espion se fait uniquement sous la forme d’une application de « mise à jour du système » et qu’elle n’est jamais disponible sur Google Play Store mais sur des magasins d’applications Android tiers.
En raison de son indisponibilité sur Google Play Store, il y a moins d’appareils qu’il peut infecter, car la plupart des utilisateurs peuvent être sceptiques quant à l’installation d’une application provenant d’une source tierce. Il est également limité par son incapacité à utiliser d’autres méthodes pour infecter les appareils Android.
Les chercheurs de la société de cybersécurité Zimperium ont découvert ce nouveau logiciel espion qui espionne et cible les informations sensibles stockées sur les appareils et les envoie à des serveurs contrôlés par les acteurs malveillants.
Le logiciel espion a de nombreuses capacités
Cependant, l’application est considérée comme très dangereuse en raison de sa capacité à mener un large éventail d’activités malveillantes. Ces capacités comprennent les suivants :
Exfiltration d’informations sur les appareils
Vol de journaux d’appels
Vol de contacts téléphoniques
Vol de messages SMS
Listage des applications installées
Surveillance de la localisation GPS
Prise périodique
Enregistrement des appels téléphoniques
Vol d’images et de vidéos
Inspection de l’historique des signets et des recherches des navigateurs de l’appareil cible
Inspecter les données du presse-papiers
Inspecter le contenu des notifications
Enregistrement audio
Recherche de fichiers avec des extensions spécifiques
Vol de fichiers de base de données de messagerie instantanée
Vol des messages de messagerie instantanée
En outre, le logiciel espion se cache sur les appareils Android infectés en masquant son icône dans le menu.
Il tente également d’éviter d’être détecté en ne volant que les miniatures des images et des vidéos qu’il trouve. Cela permet de réduire la consommation de la bande passante de la cible, afin de ne pas éveiller les soupçons sur l’activité d’exfiltration en arrière-plan.
Le logiciel malveillant ne vole que les données les plus récentes
Les chercheurs ont également découvert que le logiciel malveillant ne se comporte pas comme les autres logiciels malveillants qui volent des données en masse. Au contraire, il ne récolte que les données les plus récentes, collectant des données créées il y a quelques minutes seulement.
Mais en termes de vol de données, le logiciel espion a la capacité de collecter et d’exfiltrer un large éventail d’informations de l’appareil de la victime. Selon les chercheurs en sécurité, il s’agit d’un autre domaine dans lequel le logiciel espion est considéré comme très dangereux.
Une fois le logiciel malveillant installé sur un appareil Android, il envoie des informations en plusieurs fragments à son serveur de commande et de contrôle (C2C). Ces informations comprennent les types d’applications disponibles sur l’appareil, les types de connexion Internet, ainsi que les données de stockage.
Parfois, le logiciel espion utilise les services d’accessibilité pour obtenir des données ou récolte directement les données lorsqu’il dispose d’un accès root. Dans la plupart des cas, il trompe les victimes et les amène à activer la fonction sur l’appareil ciblé.
Il recherche également des données mises en cache ou stockées en analysant le stockage externe. Après avoir trouvé les données stockées, le logiciel malveillant les récolte et les envoie aux serveurs C2 lorsqu’ils se connectent à Internet. Le logiciel malveillant fait tout de manière très cachée et, d’une certaine manière, les victimes ne se rendront pas compte que des données sont exfiltrées de leur appareil.
Le logiciel malveillant a également une autre capacité, qui consiste à voler les fichiers stockés sur le stockage externe de l’appareil.
Le nouveau logiciel malveillant fonctionne de manière différente
Les chercheurs de Zimperium ont également révélé que le nouveau logiciel malveillant ne fonctionne pas comme les autres types de logiciels malveillants connus. En effet, ce logiciel malveillant entre en action en utilisant les récepteurs ContentObserver et Broadcast d’Android.
Cela signifie qu’il est déclenché lorsque certaines conditions sont remplies. Par exemple, comme il ne récolte que des données récentes, il ne commence à exfiltrer des données que lorsqu’il remarque l’installation de nouvelles applications, de nouveaux messages texte ou de nouveaux contacts sur l’appareil de l’utilisateur.
Le logiciel malveillant affiche également un faux message « Recherche de mise à jour » sur les notifications système lorsque de nouvelles commandes sont envoyées par ses développeurs pour poursuivre son activité malveillante.
Plusieurs applications de messagerie sont vulnérables à l’activité de collecte de données du logiciel malveillant, notamment WhatsApp, utilisé par des milliards de personnes. Il a également la capacité de rester caché et non détecté pendant une longue période, car il s’introduit généralement dans l’appareil de la victime en utilisant une permission.