Un malware Android lié à la Russie enregistre l’audio et suit votre position

Android malware

Un malware Android jusqu’alors inconnu a été lié au groupe de piratage Turla après avoir découvert l’infrastructure utilisée par l’application précédemment attribuée aux acteurs de la menace.

Turla est un groupe de piratage soutenu par l’État russe connu pour utiliser des logiciels malveillants personnalisés pour cibler les systèmes européens et américains, principalement à des fins d’espionnage.

Les acteurs de la menace ont récemment été liés à la porte dérobée Sunburst utilisée dans l’attaque de la chaîne d’approvisionnement SolarWinds en décembre 2020.

Logiciel espion Android Turla ?

Des chercheurs du Lab52 ont identifié un APK malveillant [VirusTotal] nommé « Process Manager » qui agit comme un logiciel espion Android, téléchargeant des informations aux acteurs de la menace.

Bien qu’il ne soit pas clair comment le logiciel espion est distribué, une fois installé, Process Manager tente de se cacher sur un appareil Android à l’aide d’une icône en forme d’engrenage, prétendant être un composant du système.

Lors de son premier lancement, l’application invite l’utilisateur à lui permettre d’utiliser les 18 autorisations suivantes :

  • Accéder à l’emplacement grossier
  • Accéder à un bel emplacement
  • Accéder à l’état du réseau
  • Accéder à l’état WiFi
  • Appareil photo
  • Service de premier plan
  • l’Internet
  • Modifier les paramètres audio
  • Lire le journal des appels
  • Lire les contacts
  • Lire le stockage externe
  • Écrire un stockage externe
  • Lire l’état du téléphone
  • Lire SMS
  • Réception du démarrage terminé
  • Enregistrement audio
  • Envoyer un SMS
  • Journal de réveil

Ces autorisations constituent un risque sérieux pour la confidentialité car elles permettent à l’application d’obtenir l’emplacement d’un appareil, d’envoyer et de lire des textes, d’accéder au stockage, de prendre des photos avec l’appareil photo et d’enregistrer de l’audio.

Il n’est pas clair si le logiciel malveillant abuse du service d’accessibilité Android pour s’accorder des autorisations ou s’il trompe l’utilisateur pour qu’il approuve une demande.

Après avoir reçu les autorisations, le logiciel espion supprime son icône et s’exécute en arrière-plan avec uniquement une notification permanente indiquant sa présence.

La notification permanente se faisant passer pour un service système
La notification permanente se faisant passer pour un service système
(Lab52)

Cet aspect est assez étrange pour les logiciels espions qui devraient généralement s’efforcer de rester cachés à la victime, surtout s’il s’agit du travail d’un groupe APT (menace persistante avancée) sophistiqué.

Les informations collectées par l’appareil, y compris les listes, les journaux, les SMS, les enregistrements et les notifications d’événements, sont envoyées au format JSON au serveur de commande et de contrôle au 82.146.35[.]240.

Envoi des données volées au C2
Établir une connexion C2 pour envoyer les données volées (Lab52)

La méthode de distribution de l’APK est inconnue, mais s’il s’agit de Turla, ils utilisent couramment l’ingénierie sociale, le phishing, les attaques de point d’eau, etc., donc cela pourrait être n’importe quoi.

Étrange cas d’abus à des fins lucratives

Lors de la recherche de l’application, le L’équipe Lab52 a également trouvé qu’il télécharge des charges utiles supplémentaires sur l’appareil et a trouvé un cas d’application récupérée directement sur le Play Store.

L’application s’appelle « Roz Dhan : Gagnez de l’argent sur votre portefeuille », et c’est une application populaire (10 000 000 de téléchargements) dotée d’un système de parrainage générateur d’argent.

Application abusive sur le Play Store
Application abusive sur le Play Store

Le logiciel espion téléchargerait l’APK via le système de parrainage de l’application, susceptible de gagner une commission, ce qui est quelque peu étrange étant donné que l’acteur en question se concentre sur le cyberespionnage.

Ceci, en plus de l’implémentation apparemment peu sophistiquée du logiciel espion Android, nous amène à penser que le C2 analysé par Lab52 pourrait faire partie d’une infrastructure partagée.

Les acteurs étatiques sont connus pour suivre cette tactique, même si rarement, car cela les aide à masquer leur trace et à confondre les analystes.

Éloignez les logiciels malveillants

Il est conseillé aux utilisateurs d’appareils Android de revoir les autorisations d’application qu’ils ont accordées, ce qui devrait être assez facile sur les versions d’Android 10 et versions ultérieures, et de révoquer celles qui semblent trop risquées.

De plus, à partir d’Android 12, le système d’exploitation pousse les indications lorsque la caméra ou le microphone est actif, donc si ceux-ci apparaissent orphelins, les logiciels espions se cachent dans votre appareil.

Ces outils sont particulièrement dangereux lorsqu’ils s’imbriquent dans des IoT qui exécutent d’anciennes versions d’Android, générant de l’argent pour leurs opérateurs distants pendant de longues périodes sans que personne ne se rende compte du compromis.