Le malware Rana espionne WhatsApp et Telegram sur Android

Les développeurs de Rana ont une nouvelle variante qui espionne les messages instantanés dans WhatsApp, Telegram, Skype et plus encore.

Les chercheurs ont découvert de nouveaux échantillons d’un malware Android déjà découvert et nommé Rana. Ce malware est lié au groupe de cyber-espionnage iranien APT39. La nouvelle variante est dotée de nouvelles capacités de surveillance, notamment la possibilité de surveiller les messages instantanés Skype, Instagram et WhatsApp des victimes.

Selon les autorités américaines, les développeurs de Rana opéreraient sous le couvert d’une société, Rana Intelligence Computing Co., qui a été liée à APT39 (également connue sous le nom de Chafer, Cadelspy, Remexi et ITG07), ainsi que le ministère iranien du renseignement et de la sécurité (MOIS). Le 17 septembre, le Bureau du contrôle des actifs étrangers du Département du Trésor américain a imposé des sanctions à APT39, qui a mené diverses campagnes de logiciels malveillants depuis 2014, ciblant des dissidents iraniens, des journalistes et des entreprises internationales du secteur du voyage.

rana

Parallèlement aux sanctions, le FBI a publié un rapport public d’analyse des menaces qui enquêtait sur plusieurs outils utilisés par Rana Corp. Les chercheurs ont récemment mené une analyse plus approfondie de l’un de ces échantillons de logiciels malveillants (com.android.providers.optimizer) et ont constaté que sa dernière variante présentait plusieurs nouvelles commandes qui indiquent que les acteurs de la menace affinent leurs capacités de surveillance.

«Il est important de se rappeler qu’il existe de nombreuses raisons qui poussent les groupes APT à se concentrer sur des cibles spécifiques», ont déclaré des chercheurs de ReversingLabs dans une analyse. «Qu’il s’agisse de dissidents politiques, d’opposition dans des pays sous régimes autoritaires ou d’entreprises, l’objectif des acteurs de la menace est de réaliser des gains monétaires ou politiques.»

Interrogé sur le point d’infection initial de Rana, un chercheur de ReversingLabs a déclaré: «Le FBI n’a pas divulgué cette information dans le rapport original. Nous ne disposons actuellement pas de données de télémétrie suffisantes pour connecter cet ensemble particulier de fichiers à leur source. « 

Rana espionne les messages instantanés

Alors qu’auparavant, Rana disposait d’une fonctionnalité de vol d’informations et d’accès à distance, les chercheurs ont constaté que la variante va encore plus loin en utilisant des services d’accessibilité mobile afin de cibler les applications de messagerie instantanée des victimes. Le service d’accessibilité d’Android, qui a déjà été exploité par les cybercriminels lors d’attaques Android, aide les utilisateurs handicapés. Ils s’exécutent en arrière-plan et reçoivent des rappels du système lors de l’exécution de «AccessibilityEvents». Les individus malveillants ont exploité ces services pour obtenir les autorisations nécessaires pour espionner les téléphones des victimes.

Ce malware particulier utilise des services d’accessibilité afin de surveiller une liste complète de messages sur les applications de communication, y compris les applications Instagram, Skype, Telegram, Viber et WhatsApp sur Android.

«L’analyse des applications de messagerie instantanée surveillées prouve en outre que ce malware est probablement utilisé pour la surveillance des citoyens iraniens», ont expliqué les chercheurs. «L’une des applications de messagerie instantanée surveillées est un package nommé‘ org.ir.talaeii ’, qui est décrit comme ‘un client Telegram non officiel développé en Iran’.»

Les autres commandes de Rana

Le malware inclut désormais également diverses commandes, telles que la possibilité de recevoir des commandes du serveur de commande et de contrôle (C2) qui sont envoyées par SMS: «Dans ce cas, le malware intercepte le SMS reçu et, s’il commence par une commande d’en-tête prédéfinie, le logiciel malveillant annule la propagation de SMS_RECEIVED », ont déclaré les chercheurs. « Cela empêche le SMS reçu de se retrouver dans l’application SMS par défaut. »

Le logiciel malveillant peut également prendre des photos et enregistrer du son sur les téléphones des victimes, ainsi que répondre automatiquement aux appels provenant de numéros de téléphone spécifiques.

«Le logiciel malveillant permet également de planifier le démarrage d’un appareil à un moment précis, garantissant l’activation du logiciel malveillant même lorsque quelqu’un éteint le téléphone», ont déclaré les chercheurs.

android

Une autre commande Android moins courante que le malware utilise est la possibilité d’ajouter un point d’accès Wi-Fi personnalisé et de forcer l’appareil à s’y connecter. Les chercheurs pensent que cette fonctionnalité a été introduite pour éviter une éventuelle détection due à une utilisation inhabituelle du trafic de données sur le compte mobile de la cible.

Les utilisateurs d’Android continuent d’être touchés par diverses menaces mobiles, notamment les logiciels publicitaires «indélébiles» et les chevaux de Troie bancaires Android. Les utilisateurs de téléphones mobiles peuvent éviter ces logiciels malveillants en sachant quelles applications ont quelles autorisations et en s’assurant que les entreprises ont mis en place une solide politique de gestion mobile.

«Ce que nous pouvons retenir de cette analyse, c’est l’importance de garder le contrôle de votre appareil pour réduire le risque d’infection», ont-ils déclaré. «Au niveau individuel, cela implique de savoir quelles applications ont accès aux microphones et aux informations sensibles. Si vous faites partie d’une agence gouvernementale, ou même d’une entreprise privée, cela signifie avoir une solide politique BYOD, qui inclut le contrôle des applications, l’audit continu des paramètres du système et l’analyse des logiciels malveillants. »

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x