Ce malware espion active votre microphone, la géolocalisation et dispose de pratiquement tous les accès à un smartphone. Il porte plusieurs signes distinctifs d’un groupe de hackers russes. Mais certains éléments font douter de cette attribution.

au sommaire

    Voici un petit nouveau dans l'universunivers des malwares. Identifié par les chercheurs de la société de sécurité Lab52, il s'installe sur les mobilesmobiles AndroidAndroid en portant le nom de Process Manager et peut se faire passer pour un composant légitime. Une fois lancé, il demande d'accorder jusqu'à 18 autorisations afin d'accéder à peu près l'intégralité des fonctions du mobile, dont l'écoute des conversations téléphoniques et la géolocalisation. Il n'est pas spécialement discret au premier abord, mais une fois qu'il est activé, l'icône disparait et l'appli fonctionne en arrière-plan.

    Avec un tel niveau d'accès au téléphone, il parait évident qu'il s'agit d'une applicationapplication d'espionnage. Tout semble le relier à un groupe de hackers russes appelé Turla. Ce groupe APT est connu pour être soutenu par le Kremlin. Il a pour mode opératoire l'emploi de logiciels d'espionnage employés principalement pour viser précisément des cibles européennes et américaines. Le nom de Turla est ainsi apparu dans la cyberattaque SolarWinds de 2020, et plus précisément dans le backdoor Sunburst qui a permis au groupe de s'introduire dans les serveurs de nombreuses grosses entreprises et organisations américaines et européennes.

    Une attribution difficile

    Mis à part que le malwaremalware se présente sous la forme d'un APK, c'est-à-dire un programme d'installation d'appli pour Android, le mode de contaminationcontamination reste loin d'être évident. Ce flou pourrait également indiquer que l'utilisation du malware est effectivement ciblée via des méthodes de phishingphishing et d'ingénierie sociale dont Turla est généralement adepte. Autre indice, les informations collectées par l'appareil, comme les SMSSMS, les enregistrements et les notifications d'événements, sont envoyées au serveur de commande et de contrôle sur une adresse IPadresse IP située en Russie.

    Mais voilà... Selon les chercheurs de Lab52, l'attribution reste hasardeuse puisque d'autres éléments ne coïncident pas avec les méthodes du groupe de hackers russe. Le malware vient en effet télécharger des charges utiles supplémentaires et notamment une application appelée Roz Dhan qui permet de gagner de l'argentargent grâce à un système de parrainage. Un fait étrange pour un groupe adepte du cyberespionnage. De plus, l'application semble peu sophistiquée. Difficile donc à ce point de l'enquête de savoir si ce malware provient vraiment des hackers russes.