L’application se fait passer pour un composant légitime d’Android. © Brilliant Eye, Fotolia
Tech

Ce virus enregistre toutes les conversations d’un téléphone

ActualitéClassé sous :Sécurité , Android , cyberespionnage

Ce malware espion active votre microphone, la géolocalisation et dispose de pratiquement tous les accès à un smartphone. Il porte plusieurs signes distinctifs d'un groupe de hackers russes. Mais certains éléments font douter de cette attribution.

Cela vous intéressera aussi

[EN VIDÉO] Cyberespionnage : quelles sont les menaces ?  Ingérence dans les élections, vol de données industrielles, piratage de systèmes militaires… Le cyberespionnage a connu une envolée ces deux dernières décennies. 

Voici un petit nouveau dans l'univers des malwares. Identifié par les chercheurs de la société de sécurité Lab52, il s'installe sur les mobiles Android en portant le nom de Process Manager et peut se faire passer pour un composant légitime. Une fois lancé, il demande d'accorder jusqu'à 18 autorisations afin d'accéder à peu près l'intégralité des fonctions du mobile, dont l'écoute des conversations téléphoniques et la géolocalisation. Il n'est pas spécialement discret au premier abord, mais une fois qu'il est activé, l'icône disparait et l'appli fonctionne en arrière-plan.

Avec un tel niveau d'accès au téléphone, il parait évident qu'il s'agit d'une application d'espionnage. Tout semble le relier à un groupe de hackers russes appelé Turla. Ce groupe APT est connu pour être soutenu par le Kremlin. Il a pour mode opératoire l'emploi de logiciels d'espionnage employés principalement pour viser précisément des cibles européennes et américaines. Le nom de Turla est ainsi apparu dans la cyberattaque SolarWinds de 2020, et plus précisément dans le backdoor Sunburst qui a permis au groupe de s'introduire dans les serveurs de nombreuses grosses entreprises et organisations américaines et européennes.

Une attribution difficile

Mis à part que le malware se présente sous la forme d'un APK, c'est-à-dire un programme d'installation d'appli pour Android, le mode de contamination reste loin d'être évident. Ce flou pourrait également indiquer que l'utilisation du malware est effectivement ciblée via des méthodes de phishing et d'ingénierie sociale dont Turla est généralement adepte. Autre indice, les informations collectées par l'appareil, comme les SMS, les enregistrements et les notifications d'événements, sont envoyées au serveur de commande et de contrôle sur une adresse IP située en Russie.

Mais voilà... Selon les chercheurs de Lab52, l'attribution reste hasardeuse puisque d'autres éléments ne coïncident pas avec les méthodes du groupe de hackers russe. Le malware vient en effet télécharger des charges utiles supplémentaires et notamment une application appelée Roz Dhan qui permet de gagner de l'argent grâce à un système de parrainage. Un fait étrange pour un groupe adepte du cyberespionnage. De plus, l'application semble peu sophistiquée. Difficile donc à ce point de l'enquête de savoir si ce malware provient vraiment des hackers russes.

Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour. Toutes nos lettres d’information

!

Merci pour votre inscription.
Heureux de vous compter parmi nos lecteurs !