Lookout vient de démasquer un nouveau malware baptisé ViperRAT. Parallèlement à Lookout, Kaspersky Lab, le fournisseur de solutions de sécurité informatique a également fait une annonce similaire afin d'informer le public au sujet de la même menace. ViperRAT est utilisé pour mener une campagne d’espionnage contre les appareils Android des agents des forces de défense israélienne. Selon les rapports de ces deux entreprises, ViperRAT a pour mission de collecter les informations comme les SMS, les contacts, les documents PDF, les archives .rar, les documents de type Word, l’historique de navigation, les photos, les journaux d’appels, et bien d’autres choses encore sur les appareils qu’il infecte.En plus de collecter ces informations, un certain nombre d’actions lui sont permises en s’installant sur les appareils de ses victimes. Avec ViperRAT installé sur un appareil, l’attaquant peut prendre des photos, enregistrer des vidéos ou de l’audio, ouvrir un navigateur et aller à un lien spécifique, écouter furtivement à un moment donné ou une période donnée à partir de l’appareil de la victime... Bien évidemment, avec un tel niveau d’accès aux informations contenues dans les téléphones et autres appareils Android d’une personne, les attaquants peuvent se faire une image complète de ce que la personne fait, avec qui elle est en contact, où elle se trouve, etc. Et c’est ce pour quoi ViperRat a été conçu.
Pour infecter les appareils des agents des forces de défense israélienne, les attaquants utilisent l’ingénierie sociale en se faisant passer pour des jeunes femmes avec de faux comptes créés sur les réseaux sociaux. Dans un premier, ils échangent avec les cibles tout en essayant de leur soutirer des informations confidentielles. Ensuite, ils leur demandent d’envoyer des photos en leur promettant de leur envoyer en retour des photos osées. Une fois le contact bien établi, les attaquants passent à la vitesse supérieure en demandant à la victime d’installer une application particulière afin de pouvoir mieux communiquer. Et pour passer inaperçus, ils intègrent à certaines applications comme l’application SR Chat, YeeCall Pro, des jeux de billards, un lecteur de chansons d’amour israéliennes, une application de migration vers iOS, un malware fera le travail malveillant après l’installation de l’application.
Une fois la première application installée avec validation des demandes d’autorisation à certaines fonctionnalités, le dropper (application présentée comme inoffensive et utilisée pour télécharger des malwares en tant que mises à jour) va télécharger la charge utile qui exécutera les commandes déclenchées par l’attaquant ou encore exécutera des processus programmés afin de collecter périodiquement des informations. Selon Kaspersky, la plupart des données collectées sont envoyées uniquement par le Wifi à un serveur de Commande et de Contrôle (C&C). Et pour communiquer avec les serveurs C&C, la charge utile utilise le protocole WebSocket ainsi que des API.
Selon les rapports publiés par les deux entreprises de sécurité, plus de 100 soldats israéliens ont été infectés par ViperRAT et près de 9 ;000 fichiers contenant majoritairement des images chiffrées prises avec les téléphones des victimes ont été envoyés aux attaquants avec ce malware.
En plus des fichiers et actions mentionnés ci-dessus, ViperRAT collecte également des métadonnées du réseau de l’appareil, récupère le numéro de téléphone, l’IMEI, la version de l’appareil, l’opérateur réseau, la marque de l’appareil, le fabricant, le SDK ainsi que bien d’autres informations.
Pour les entreprises de sécurité, toutes ces informations pourraient servir à compromettre la position des soldats israéliens ou leur mission en général s’ils sont en service commandé. Par ailleurs, bien que les auteurs de ce malware ne soient pas encore connus, Lookout précise que les chaînes de caractère par défaut dans l’application sont en arabe, de même que le nom de l’application. Mais ces informations ne sont pas suffisantes pour faire un lien quelconque avec un groupe particulier. Selon les informations collectées par Lookout, ViperRAT serait en activité depuis 2015 au moins et continue toujours de sévir.
Source : Lookout, Securelist
Et vous ?
Que pensez-vous de ce malware ;? Qui pensez-vous pourrait être à la base de logiciel malveillant ;?Voir aussi
Android : 13 adwares s'invitent sur le Play Store, de quoi remettre en cause la sécurité de Google Play ? Lookout découvre de nouveaux adwares qui root les terminaux Android à l'insu des utilisateurs, l'infection serait presque impossible à supprimer Android : Lookout découvre une variante de NotCompatible, le cheval de Troie peut potentiellement compromettre le réseau d'une entreprise La Rubrique Sécurité, Forum Sécurité, Cours et tutoriels Sécurité, FAQ Sécurité