Posté le juin 27, 2022 à 10:28

GOOGLE ACCUSE LES FAI D’AVOIR AIDÉ LES HACKERS À EXPLOITER LES SMARTPHONES AVEC LE LOGICIEL ESPION HERMIT

Google a alerté les utilisateurs d’Android que les fournisseurs d’accès à internet (FAI) ont permis aux acteurs de menaces d’utiliser le logiciel espion Hermit pour infecter des smartphones ciblés. Cette alerte intervient à peine une semaine après que le logiciel malveillant a été utilisé par le gouvernement du Kazakhstan à l’intérieur de ses frontières.
Google a également déclaré avoir mis en œuvre d’importants changements dans Google Play Protect, son système intégré de défense contre les logiciels malveillants pour Android, afin d’offrir une meilleure protection aux utilisateurs.

Les chercheurs du TAG (Threat Analysis Group) de Google, Clément Lecigne et Benoit Sevens, ont signalé la situation et demandé aux utilisateurs d’être plus vigilants quant à la sécurité de leurs appareils.
Hermit a été conçu par un fournisseur Italien appelé RCS Lab. La semaine dernière, Lookout a documenté les activités du logiciel malveillant et a souligné la modularité de ses fonctionnalités. L’entreprise de sécurité a également souligné les capacités du logiciel malveillant, notamment la collecte d’informations sensibles telles que les contacts, les SMS, la localisation précise et les journaux d’appels.

Le logiciel malveillant est doté de plusieurs capacités

Une fois que la menace s’est soigneusement infiltrée dans l’appareil, elle est habilitée à passer et à rediriger des appels téléphoniques, et à enregistrer la radio. Il surveille également diverses applications de premier plan utilisées par l’utilisateur ciblé après avoir obtenu des services d’accessibilité sur l’appareil Android.

En outre, il est doté d’une modularité qui en fait un outil entièrement personnalisable, dont les fonctionnalités peuvent être modifiées ou étendues à volonté. Cependant, il n’est pas clair quels clients de RCS Lab ont été impliqués ou qui ont été ciblés dans cette campagne.

RCS Lab a été créé en 1993 et déclare fournir une assistance technique et des solutions technologiques de pointe aux organismes chargés de l’application de la loi dans le monde entier. La société affirme traiter plus de 10 000 cibles interceptées rien qu’en Europe.

Richard Melick, directeur des rapports sur les menaces chez Zimperium, a déclaré que Hermit est un autre exemple d’arme numérique utilisée pour lancer une attaque contre des civils et leurs appareils mobiles. Il a déclaré que les données que les acteurs de la menace collectent à l’aide de l’outil malveillant seront très précieuses.

Les hackers se sont associés aux FAI pour cibler les appareils

Les attaquants ont ciblé les utilisateurs d’Android et ont infecté leurs appareils avec un outil d’espionnage par le biais de téléchargements à la demande. Ils délivrent un lien unique dans un SMS qui active la chaîne d’attaque lorsqu’on clique dessus.

Le rapport montre que les acteurs de la menace ont collaboré avec les fournisseurs de services Internet (FSI) des victimes pour désactiver leur connectivité de données mobiles. Ils ont également envoyé un SMS qui conseillait aux destinataires d’installer une application pour rétablir l’accès aux données mobiles.

 « Nous pensons que c’est la raison pour laquelle la plupart des applications se sont fait passer pour des applications d’opérateurs mobiles », ont déclaré les chercheurs.

L’équipe de recherche de Google a par ailleurs déclaré que les acteurs de la menace ont utilisé la mise à disposition de profils qui autorisaient de fausses applications de marque d’opérateur. Après la divulgation, Apple a agi rapidement pour révoquer les certificats et les comptes connus liés à l’opération du logiciel malveillant.

L’équipe a expliqué qu’une entreprise utilise uniquement des certificats d’entreprise pour un usage interne. Ils ne sont pas destinés à la distribution générale d’applications, car ils peuvent être utilisés pour contourner la sécurité d’iOS et de l’App Store. Cependant, malgré l’échelle limitée et le contrôle strict du programme, les acteurs de la menace explorent des moyens d’y accéder en achetant des certificats d’entreprise sur le Dark Web.

Le logiciel malveillant exploite six vulnérabilités

Sur la base de l’analyse de la version iOS de l’application, les chercheurs ont découvert que le logiciel malveillant et ses gestionnaires exploitent six vulnérabilités pour voler des fichiers, tels que les bases de données WhatsApp de l’appareil. Ces vulnérabilités sont notamment CVE-2021-30983, CVE-2021-30883, CVE-2020-9907, CVE-2020-3837, CVE-2019-8605 et CVE-2018-4344.

Selon Ian Beer, du Project Zero de Google, l’exploitation par corruption de la mémoire étant de plus en plus coûteuse pour les auteurs de la menace, ceux-ci changent progressivement d’objectif. L’exploit drive-by sur Android exige que la victime autorise un paramètre qui installera des applications tierces de sources inconnues. Pour cette raison, de nombreux utilisateurs hésitent à accorder des autorisations étendues à des applications inconnues, ce qui rend les attaques par ce biais plus difficiles.

En plus d’essayer de créer un root sur l’appareil pour y accéder, la variante Android est également câblée séparément. Elle est dotée de fonctionnalités qui lui permettent d’exécuter des ransomware et des composants distants au lieu de regrouper les exploits dans le fichier APL.

L’équipe de recherche de Google a noté que la campagne malveillante montre que les acteurs de menaces n’obtiennent pas toujours les autorisations dont ils ont besoin en utilisant des exploits. Comme le montre la dernière situation, ils peuvent toujours utiliser des téléchargements de type « drive-by » et des vecteurs d’infection de base pour réussir avec l’aide des FAI locaux. L’équipe de Google a aussi averti que des fournisseurs comme RCS Lab fournissent des vulnérabilités zero-day en secret. Par conséquent, le risque d’exploitation est important puisque plusieurs éditeurs de logiciels ont été infectés au cours des dix dernières années.