Ce malware russe inconnu espionne les utilisateurs Android en les enregistrant grâce au micro de leurs smartphones. Et ce n’est pas tout.
Le malware jusqu’ici inconnu se cache dans le code de l’APK « Process Manager », où il a été possiblement mis par Turla, un groupe de hackers proche du Kremlin identifié en 2020. A l’époque, le collectif avait été impliqué dans l'attaque de la chaîne d'approvisionnement SolarWinds.
Le Malware « utilise la même infrastructure d'hébergement partagé que celle utilisée par le groupe russe APT connu sous le nom de Turla, bien que l'attribution au groupe de piratage ne soit pas possible. », détaille le média BleepingComputer.
Une fois l’App installée, le code malveillant tire apparemment parti du service d’accessibilités d’Android et va ainsi s’emparer des données du téléphone après avoir demandé une multitude d’autorisations. 18 au total !
Pas vu pas pris
« Lorsque l'application est exécutée, un avertissement s'affiche concernant les autorisations accordées à l'application. Ceux-ci incluent les tentatives de déverrouillage de l'écran, le verrouillage de l'écran, la définition du proxy global de l'appareil, la définition de l'expiration du mot de passe de verrouillage de l'écran, la définition du cryptage du stockage et la désactivation des caméras », détaille les chercheurs de LAB 52, la division Threat Intelligence de S2 Grupo, une société internationale de cybersécurité.
Une fois les autorisations obtenues, le logiciel malveillant se dissimule à la vue de l’utilisateur en supprimant son icône, puis il s’exécute en arrière-plan. Ne reste qu’une notification permanente qui trahit sa présence.
Ensuite, le logiciel peut possiblement afficher le numéro, le nom (contact), la durée, la date et le type de chaque appel. Il peut également accéder à la liste de contacts, aux données GPS, effectuer des sauvegardes des fichiers de l’appareil… Le malware peut également utiliser le microphone et la caméra de l’appareil, afin d'enregistrer et prendre des photos. Toutes les données connectées sont ensuite envoyées sur un serveur basé en Russie.
Phising ? Ingénierie sociale ? Pour l’heure, les chercheurs n'ont pas découvert le processus de distribution du logiciel espion. Les utilisateurs ayant potentiellement installés Process Manager sont vivement invités à revoir les autorisations accordées.