Un malware Android vous espionne en se faisant passé pour System Update

0

Un nouveau malware Android ayant des capacités de logiciels espions étendus vole des données à partir d’appareils infectés et est conçu pour se déclencher automatiquement chaque fois que de nouvelles informations sont prêtes pour l’exfiltration.

Le logiciel espion ne peut être installé qu’en tant qu’application « System Update » via des magasins d’applications Android tiers car il n’a jamais été disponible sur le Play Store de Google.

Cela limite considérablement le nombre d’appareils qu’il peut infecter, étant donné que la plupart des utilisateurs expérimentés éviteront très probablement de l’installer en premier lieu.

Le malware manque également d’une méthode pour infecter d’autres appareils Android par lui même, ce qui s’ajoute à ses capacités limitées de propagation.

Le malware vole presque tout

Toutefois, lorsqu’il s’agit de voler vos données, ce cheval de Troie d’accès à distance peut collecter et exfiltrer une vaste gamme d’informations sur son serveur de commande et de contrôle.

Les chercheurs de Zimperium qui l’ont repéré a déclaré qu’il est capable de « voler des données, des messages, des images et de prendre le contrôle des téléphones Android. »

« Une fois sous contrôle, les pirates peuvent enregistrer des appels audio et téléphoniques, prendre des photos, examiner l’historique du navigateur, accéder aux messages WhatsApp, et plus encore, ont-ils ajouté.

La vaste gamme de fonctionnalités de vol de données du malware inclut :

  • Voler des messages instantanés;
  • Vol de fichiers de base de données de messagerie instantanée (si le root est disponible);
  • Inspection des signets et des recherches du navigateur par défaut;
  • Inspection du signet et de l’historique de recherche de Google Chrome, Mozilla Firefox et Samsung Internet Browser;
  • Recherche de fichiers avec des extensions spécifiques (y compris .pdf, .doc, .docx et .xls, .xlsx);
  • Inspection des données du presse-papiers;
  • Inspection du contenu des notifications;
  • Enregistrement audio;
  • Enregistrement des appels téléphoniques;
  • Prendre périodiquement des photos (que ce soit par l’intermédiaire des caméras avant ou arrière);
  • Liste des applications installées;
  • Voler des images et des vidéos;
  • Surveillance de la localisation GPS;
  • Voler des SMS;
  • Voler les contacts téléphoniques;
  • Voler des journaux d’appels;
  • Exfiltrer les informations de l’appareil (p. ex., applications installées, nom de l’appareil, statistiques de stockage).

Une fois installé sur un appareil Android, le malware enverra plusieurs informations à son serveur de commande et de contrôle Firebase, y compris les statistiques de stockage, le type de connexion Internet, et la présence de diverses applications telles que WhatsApp.

Le logiciel espion récolte les données directement s’il a un accès root ou utilisera les services d’accessibilité après avoir poussé les victimes à activer la fonctionnalité sur l’appareil compromis.

Il analysera également le stockage externe pour toutes les données stockées ou mises en cache, les récoltera et les livrera aux serveurs de commande et de contrôle lorsque l’utilisateur se connecte à un réseau Wi-Fi.

Le malware Android se cache à la vue de tous

Contrairement à d’autres logiciels malveillants conçus pour voler des données, celui-ci sera déclenché en utilisant le contentObserver et les récepteurs de diffusion d’Android que lorsque certaines conditions sont remplies, comme l’ajout d’un nouveau contact, de nouveaux messages texte, ou de nouvelles applications en cours d’installation.

« Les commandes reçues par le service de messagerie Firebase initie des actions telles que l’enregistrement de l’audio à partir du microphone et l’exfiltration de données telles que les messages SMS », a déclaré Zimperium.

« La communication de Firebase n’est utilisée que pour émettre les commandes, et un serveur C&C dédié est utilisé pour collecter les données volées à l’aide d’une requête POST. »

Le malware affichera également de fausses notifications de mise à jour du système lorsqu’il recevra de nouvelles commandes de ses maîtres pour camoufler son activité malveillante.

android

Le logiciel espion dissimule également sa présence sur les appareils Android infectés en cachant l’icône du menu.

Pour échapper davantage à la détection, il ne volera que des thumbnails de vidéos et d’images qu’il trouve, réduisant ainsi la consommation de bande passante des victimes pour éviter d’attirer leur attention sur l’activité d’exfiltration des données de fond.

Contrairement à d’autres logiciels malveillants qui récoltent des données en vrac, celui-ci s’assurera également qu’il exfiltre uniquement les données les plus récentes, la collecte des données de localisation créées et des photos prises dans les dernières minutes.

Les indicateurs de compromis, y compris les hashes d’échantillons de logiciels malveillants et les adresses de serveur C2 utilisées par ce logiciel espion, sont disponibles à la fin du rapport de Zimperium.

Si cet article vous a plu, jetez un œil à notre article précédent.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.