Chez Trend Micro, les chercheurs ont analysé le code source d’un logiciel malveillant Android appelé RCSAndroid (Remote Control System Android). L’échantillon est issu de la fuite des données de Hacking Team. Le fournisseur de logiciels d’espionnage a en effet toujours considéré l’OS mobile de Google comme l’une de ses cibles de premier choix.
RCSAndroid n’est pourtant pas inconnu des chercheurs en sécurité. Le malware a été intercepté en 2014 par les chercheurs de Citizen Lab, après qu'ils aient découvert une porte dérobée utilisée par Hacking Team pour espionner les utilisateurs Android en Arabie Saoudite. Il a d’ailleurs été activement utilisé depuis 2012, mais la récente analyse de Trend Micro expose le plein potentiel du programme malveillant.
Après avoir étudié le fonctionnement du programme malveillant, la firme de sécurité considère que RCSAndroid pourrait être le « malware Android le plus professionnellement développé et le plus sophistiqué jamais exposé » à ce jour. La fuite de son code pourrait donc être très utile aux pirates.
Le malware Android est capable de collecter pratiquement tout type de données de l’utilisateur, grâce à de nombreuses fonctionnalités y compris sa capacité à :
- Faire des captures d’écran ;
- Suivre de près le contenu du presse-papiers ;
- Récupérer les mots de passe des réseaux Wi-Fi et des comptes en ligne, y compris Skype, Facebook, Twitter, Google, WhatsApp, Mail, et LinkedIn ;
- Faire des enregistrements en utilisant le microphone ;
- Recueillir des SMS, MMS et messages Gmail ;
- Enregistrer les emplacements de l’utilisateur ;
- Recueillir des informations sur le périphérique ;
- Prendre des photos en utilisant les caméras avant et arrière ;
- Recueillir des contacts et décoder les messages provenant de comptes de messagerie instantanée, tels que Facebook Messenger, WhatsApp, Skype, Viber, Line, WeChat, Hangouts, Telegram et BlackBerry Messenger ;
- Enregistrer les appels en temps réel de n'importe quel réseau ou application.
En analysant le code, les chercheurs ont pu identifier deux méthodes d’infection qui ont été utilisées par le malware.
Dans la première méthode, RCSAndroid utilise des solutions de pénétration pour s’infiltrer dans les appareils cibles. Il peut s’agit de SMS ou email. L’utilisateur reçoit donc une URL spécialement conçue par email ou SMS. En cliquant sur le lien, cela va déclencher des exploits pour des vulnérabilités existantes dans le navigateur par défaut d’Android (de la version 4.0 à 4.3), permettant l’exécution d’un autre exploit d’élévation de privilèges. Une fois que les privilèges racines sont acquis, un fichier APK du malware RCSAndroid sera installé sur le dispositif Android. Des emails échangés entre les dirigeants de Hacking Team montrent aussi que les ingénieurs de la société développaient des mises à jour du logiciel, qui pourraient fonctionner sur la version 5.0 d’Android.
La deuxième méthode – moins ciblée que la première - consiste à utiliser une application malveillante qui pourrait déjouer les contrôles de sécurité de Google et s’infiltrer dans le Store. C’est le cas du malware BeNews dévoilé par Trend Micro la semaine dernière. Une fois que l’application est téléchargée et exécutée par l’utilisateur, elle télécharge le reste de son code depuis internet sur le dispositif Android. Le code malveillant téléchargé va ensuite conduire à l’installation du fichier APK de RCSAndroid.
La firme de sécurité appelle les utilisateurs Android à être vigilants alors que cette menace est actuellement dans la nature. Selon Trend Micro, des indicateurs tels que le redémarrage inattendu du dispositif, la découverte d’applications inconnues ou encore des applications de messagerie instantanée bloquées doivent également interpeller les utilisateurs.
Source : Trend Micro
Et vous ?
Qu’en pensez-vous ?