Le nouveau framework Android Malware transforme les applications en logiciels espions puissants

Les chercheurs en sécurité ont découvert un nouveau et puissant framework anti-malware Android utilisé par les cybercriminels pour transformer les applications légitimes en logiciels espions dotés de capacités de surveillance étendues.

Dans le cadre d’une campagne d’espionnage ciblée.

Les applications Android légitimes, associées à l’infrastructure de logiciels malveillants, baptisées Triout, permettent d’espionner les périphériques infectés en enregistrant les appels téléphoniques et en surveillant les messages texte, en dérobant secrètement les photos et les vidéos et en collectant les données.

Le 15 mai, les chercheurs en sécurité de Bitdefender ont détecté la menace des logiciels espions basés sur Triout lorsqu’un échantillon de logiciels malveillants a été téléchargé sur VirusTotal par une personne située en Russie, mais la plupart des analyses provenaient d’Israël.

Dans un livre blanc (PDF)Publié lundi, le chercheur de Bitdefender, Cristofor Ochinca, a déclaré que l’échantillon de malware analysé par eux était intégré à une version malveillante d’une application Android disponible sur Google Play en 2016 mais qui a depuis été supprimée.

Le logiciel malveillant est extrêmement furtif, car la version reconditionnée de l’application Android conservait l’apparence et la convivialité de l’application originale et fonctionnait exactement comme elle : dans ce cas, le chercheur a analysé une application adulte appelée « Sex Game » pour tromper ses victimes.

Cependant, en réalité, l’application contient une charge utile Triout malveillante dotée de puissantes fonctionnalités de surveillance qui volent des données sur les utilisateurs et les renvoient à un serveur de commande et de contrôle contrôlé par un attaquant.

Selon le chercheur, Triout peut effectuer de nombreuses opérations d’espionnage une fois qu’il compromet un système, y compris :
Enregistrement de chaque appel téléphonique, en l’enregistrant sous la forme d’un fichier multimédia, puis en l’envoyant avec l’ID de l’appelant sur un serveur C & C distant.
Enregistrement de chaque message SMS entrant sur le serveur C & C distant.
Envoi de tous les journaux d’appels (avec nom, numéro, date, type et durée) au serveur C & C.

Envoi de chaque photo et vidéo aux attaquants chaque fois que l’utilisateur prend une photo ou enregistre une vidéo, avec la caméra avant ou arrière.
Possibilité de se cacher sur le périphérique infecté.

Mais malgré les puissantes capacités du logiciel malveillant, les chercheurs ont constaté que le logiciel malveillant n’utilisait pas l’obscurcissement, ce qui aidait les chercheurs à accéder pleinement à leur code source en décompressant simplement le fichier APK.

"Cela pourrait suggérer que le framework pourrait être un travail en cours, les développeurs testant les fonctionnalités et la compatibilité avec les périphériques", a déclaré Ochinca.

"Le serveur C & C (commande et contrôle) vers lequel l’application semble envoyer des données collectées semble être opérationnel, à la date de rédaction de ce document et depuis mai 2018."

Bien que les chercheurs n’aient pas pu trouver comment cette version reconditionnée de l’application légitime était distribuée et combien de fois elle avait été installée avec succès, ils pensent que l’application malveillante a été livrée aux victimes par des magasins d’applications tiers ou d’autres domaines contrôlés par des attaquants. probablement utilisé pour héberger le malware.

Ochinca explique que l’échantillon analysé de Triout était toujours signé avec un authentique certificat Google Debug.

À ce moment, aucune preuve ne pointe vers les attaquants, ni pour déterminer qui ils sont et d’où ils viennent, mais ce qui est clair, c’est que les attaquants sont hautement qualifiés et pleins de ressources pour développer une forme sophistiquée de framework de spyware.

La meilleure façon d’éviter de tomber victime de telles applications malveillantes est de toujours télécharger des applications provenant de sources fiables, telles que Google Play Store, et de ne les coller qu’à des développeurs vérifiés.

En outre, le plus important, réfléchir à deux fois avant d’accorder une autorisation d’application pour lire vos messages, accéder à vos journaux d’appels, vos coordonnées GPS et toute autre donnée obtenue via les capteurs Android.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 30 |

Actu en image