android

Monokle: Nouveau spyware Russe sur Android

Des chercheurs en cybersécurité ont découvert un nouveau spyware nommé Monokle. Le malware semble avoir été développé par un groupe Russe qui est lié à l’interférence dans les élections présidentielles des Etats-Unis en 2016.

Le spyware cible les smartphones Android depuis Mars 2016 et est principalement utilisé dans les attaques ciblées sur un nombre limité de personne.

Selon les chercheurs en sécurité de Lookout, Monokle possède une large variété d’options d’espionnage et utilise des techniques d’exfiltration de données avancées, même sans avoir de permissions d’administrateur sur l’appareil ciblé.

Détails sur Monokle

Le malware se joue des services d’accessibilité d’Android pour exfiltrer les données d’un large nombre d’applications tiers, y compris Google Docs, Facebook Messenger, Whatsapp, WeChat, et Snapchat, en lisant le texte affiché sur l’écran de l’appareil.

Le malware a aussi extrait des dictionnaires de texte prédictifs définis par l’utilisateur pour “avoir une idée des sujets d’intérêt d’une cible,” et tente aussi d’enregistrer l’écran du téléphone lors d’un déblocage d’écran pour récupérer le PIN du smartphone ou le mot de passe.

En plus de tout ça, si un accès au root est disponible, le spyware installe des certificats spéciaux dans la liste des certificats de confiances sur l’appareil compromis, permettant aux pirates d’intercepter du traffic crypté avec le protocole SSL sur le réseau en utilisant une attaque Man-in-the-Middle (MiTM).

Autres fonctionnalités de Monokle incluent:

  • Tracer la localisation de l’appareil
  • Enregistrer de l’audio et des appels
  • Faire des captures d’écran
  • Keylogger et reconnaissance de l’appareil
  • Récupérer les historiques d’appels et de navigations
  • Prendre des photos, des vidéos et des captures d’écran
  • Récupérer des emails, des SMS, et des Messages
  • Subtiliser des informations de contacts et de calendrier
  • Lancer des appels et envoyer des SMS au nom des victimes
  • Exécuter des commandes de shell arbitraire, en tant que root, si l’accès au root est disponible

En tout, Monokle contient 78 commandes différentes pré-définis, que les pirates peuvent envoyer par SMS, appels, ou email (via POP3 et SMTP), et des connexions TCP entrantes/sortantes, ordonnant au malware d’exfiltrer les données requises et les envoyer aux serveurs command-and-control des pirates.

Le spyware se fait passer pour des applications Android

Selon les chercheurs, les pirates distribuent Monokle en utilisant de fausses applications qui ressemble à Evernote, Google Play, Pornhub, Signal, UC Browser, Skype, et d’autres applications Android populaires.

Monokle android malware apps

La plupart de ces applications inclut des fonctionnalités légitimes, empêchant les utilisateurs ciblés de suspecter les applications d’être malveillantes.

De plus, les échantillons récents de Monokle contiennent des modules Xposed qui permettent au malware de personnaliser quelques fonctionnalités du système, provoquant l’extension de sa capacité à s’attacher et à cacher sa présence dans la liste de processus.

Le malware utilise un fichier DEX qui “inclut toutes les fonctions cryptographiques implémentées dans la librairie open source “spongycastle,” les protocoles d’email, l’extraction et l’exfiltration de toute les données, la sérialisation et la dé-sérialisation de données utilisant le protocole Thrift, et les fonctionnalités de rooting et d’attachement etc..”

Ce nouveau malware Android et ses capacités nous font penser au malware Pegasus, développé par le groupe Israelien, NSO Group, pour les appareils iOS et Android.

Cependant, à la différence de Monokle, Pegasus contient des exploits zero-day qui installent le spyware sur un appareil ciblé avec très peu d’interaction de l’utilisateur.

Le Contracteur Russe STC a développé le malware Monokle

Monokle a été développé par une compagnie Russe, nommé Special Technology Centre Ltd. (STC)—une compagnie de défense privée connue pour la production d’équipement de drones et fréquences radios (RF) pour l’armée Russe ainsi que d’autres clients gouvernementaux.

monokle android malware created by russian company

Selon les chercheurs de Lookout, Monokle et la suite de sécurité de STC nommée Defender sont digitalement signé avec les mêmes certificats cryptographiques et partage aussi la même infrastructure commande-and-control.

“L’infrastructure Command-and-control qui communique avec l’application Defender communique aussi avec les échantillons de Monokle. Les certificats de signature utilisés pour signer les paquets d’application Android empiète aussi entre Defender et Monokle,” selon le rapport.

“Le chevauchement additionnel a été observé par les chercheurs de Lookout entre Monokle et le logiciel de sécurité de STC dans les choix de développement et d’implémentation de l’auteur.”

Monokle pour iOS en cours de développement

Les chercheurs sont aussi tombés sur des échantillons de Monokle qui semblent ciblé iOS.

Certaines commandes dans les échantillons du malware ne servent à rien sur un client Android et ont surement été ajouté involontairement, cela suggère donc que des versions iOS de Monokle sont en cours de développement.

Ces commandes incluent des fonctions iOS pour le keychain, les connexions iCloud, les données d’accéléromètre de l’Apple iWatch, les permissions iOS, et d’autres fonctionnalités ou services iOS.

Selon les chercheurs de Lookout, Monokle est utilisé dans les attaques très ciblées en Europe de l’Est et en Asie Centrale.

Pour plus d’information, vous pouvez jeter un coup d’œil au rapport détaillé publié par Lookout.

Si cet article vous a plu, jetez un œil à notre précédent article concernant une faille d’iOS.

Poster un Commentaire

avatar
  S’abonner  
Notifier de