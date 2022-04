Un logiciel malveillant Android insidieux ayant des liens avec la Russie met sur écoute votre audio, votre localisation et plus encore.



Le 1er avril, des chercheurs en sécurité ont découvert une nouvelle infrastructure de contact de logiciels espions basés sur Android appartenant à un groupe de menaces basé en Russie appelé Turla. Une fois installé, ce malware peut rôder sur un appareil, collecter des informations et des enregistrements audio tout en rapportant de l'argent à Turla d'une manière assez particulière.







Le malware, sournoisement appelé "Process Manager" sur les appareils Android, apparaît sous la forme d'une icône en forme d'engrenage qui n'est pas sans rappeler l'icône des paramètres dans les versions par défaut d'Android. Ensuite, un avertissement sur les autorisations de l'application est affiché à l'utilisateur lorsque l'application est lancée, indiquant les autorisations de verrouillage de l'écran, le cryptage du stockage et la désactivation des caméras. Une fois que l'utilisateur les a acceptées, l'icône est masquée et l'application fonctionne en arrière-plan. Cependant, cet "avertissement" ne donne pas toute l'étendue des autorisations que l'application reçoit, comme vous pouvez le voir ci-dessous.







Quoi qu'il en soit, les chercheurs de Lab52 ont constaté que l'app malveillante crée d'abord un canal de notification pour " Battery Level Services ", suivi d'une intention de configurer l'appareil avec des autorisations d'administration. Une fois l'application configurée, les fonctions de l'app nommée d'après l'alphabet sont exécutées pour voler des informations de l'appareil et les ajouter à un fichier JSON. Cette collecte de données comprend les appels téléphoniques, les contacts, tous les fichiers de l'appareil, la localisation, les enregistrements audio, les messages texte et d'autres éléments qui, une fois collectés, sont envoyés au serveur de commande et de contrôle identifié comme étant la propriété de Turla.







En outre, l'application a également essayé de télécharger une application appelée Roz Dhan en utilisant un lien raccourci par Google. Bien que la légitimité de cette application soit discutable, il semble que les logiciels malveillants en abusent pour gagner de l'argent car elle dispose d'un système de parrainage qui fonctionne probablement lorsque quelqu'un télécharge l'application en utilisant un lien de parrainage spécial.







Dans l'ensemble, il s'agit d'un développement intéressant, mais pas particulièrement surprenant si l'on considère que Turla est connu pour utiliser des logiciels malveillants artisanaux pour ses opérations, comme l'a signalé MITRE dans nos recherches. Cependant, l'équipe de Lab52 ne semble pas penser que l'attribution à Turla est possible "étant donné ses capacités de menace", bien que la sous-estimation des acteurs de la menace soit un jeu dangereux. Quoi qu'il en soit, il s'agit d'un logiciel malveillant plutôt intéressant.



HOTHARDWARE