malware russe android

Un nouveau malware russe piste votre smartphone et enregistre vos appels

Un nouveau malware russe vient d’être découvert par les chercheurs de Lab52. Ce malgiciel est capable de localiser votre smartphone, d’enregistrer vos appels, d’espionner vos messages ou de prendre des photos et des vidéos. Le serveur de contrôle du malware est lié au groupe de hackers Turla soutenu par Vladimir Poutine, mais les chercheurs doutent que ce groupe soit aux manettes…

Les chercheurs de Lab52 viennent d’identifier un fichier APK malveillant dénommé  » Process Manager « . Ce fichier se comporte comme un spyware Android, et transmet des informations aux cybercriminels.

On ignore pour l’instant comment ce spyware est distribué. Toutefois, une fois installé, Process Manager tente de se dissimuler sur un appareil Android en utilisant une icône en forme de rouage similaire à un composant système.

Dès le premier lancement, l’application demande 18 permissions à l’utilisateur dont l’accès à la géolocalisation, au WiFi, à l’appareil photo, à internet, aux réglages audio, au journal d’appels, à la liste de contacts, au stockage externe, aux SMS, et au microphone.

Or, ces permissions mettent en péril la confidentialité de l’utilisateur. Si ce dernier lui autorise, l’application pourra accéder à la localisation géographique de l’appareil, envoyer et lire des messages, accéder au stockage, prendre des photos avec la caméra ou même enregistrer l’audio.

Le malware collecte des informations comme les listes, les logs, les SMS, les enregistrements et les notifications d’événement. Ces informations sont retransmises au format JSON vers le serveur de commande et contrôle à l’adresse 82.146.35[.]240 situées en Russie.

Pour l’heure, on ignore si ce malware peut tromper le service d’accessibilité d’Android pour s’octroyer les permissions automatiquement ou s’il se contente de piéger l’utilisateur. Dès que les permissions sont accordées, le spyware supprime son icône et continue à tourner en arrière-plan. Seule une notification permanente indique sa présence.

Un nouveau malware du groupe russe Turla ?

Ce dernier point est surprenant, car un spyware cherche habituellement à rester caché. C’est d’autant plus étrange que ce malware semble lié à un groupe de hackers réputé. En effet, il partage l’infrastructure d’hébergement du groupe russe Turla.

Ce groupe soutenu par le gouvernement de Vladimir Poutine est connu pour cibler les systèmes européens et américains avec des malwares à des fins d’espionnage. Récemment, Turla a été lié à la cyberattaque Sunburst menée contre SolarWinds en décembre 2020.

Si le groupe Turla est bel et bien derrière ce nouveau malware, ses méthodes habituelles de distribution sont l’ingénierie sociale, le phishing, ou encore les attaques de point d’eau. Il est probable que ces méthodes soient à nouveau employées.

L’APK malveillante télécharge des applications sur le Play Store

En inspectant l’application, Lab52 s’est aperçue qu’elle télécharge aussi des payloads additionnels sur l’appareil. Dans un des cas, une application a été directement téléchargée depuis le Play Store de Google.

Cette application dénommée  » Roz Dhan: Earn Wallet cash «  a été téléchargée plus de 10 millions de fois, et propose de gagner de l’argent grâce à un système de parrainage. Il est probable que l’APK télécharge cette application pour permettre aux hackers d’encaisser une commission. Un autre point surprenant pour un groupe focalisé sur l’espionnage.

Tout porte à croire que le serveur fait partie d’une infrastructure partagée, sans forcément être lié à Turla. Néanmoins, les hackers liés à des gouvernements utilisent fréquemment cette tactique pour brouiller les pistes et semer la confusion. Les chercheurs pensent toutefois que ce malware est plutôt lié à des hackers amateurs.

Comment se protéger contre le malware Process Manager ?

Pour éviter que votre smartphone soit contaminé par ce malware russe, il est recommandé de toujours consulter les permissions demandées par une application avant de lui accorder. Cette tâche est facilitée depuis Android 10. Nous vous conseillons de refuser les permissions trop intrusives et superflues.

En outre, depuis Android 12, le système d’exploitation indique lorsque la caméra ou le microphone sont actifs. Si ces composants s’activent sans raison apparente, cela signifie que votre appareil est infecté par un spyware.

Ces logiciels malveillants sont particulièrement dangereux sur des appareils IoT basés sur des versions plus anciennes d’Android. Pour cause, les hackers peuvent les exploiter pour générer de l’argent pendant une longue période sans que personne ne s’en aperçoive…

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Pin It on Pinterest