Ce mystérieux malware russe utilise à votre insu le micro de votre smartphone

03 avril 2022 à 15h45
18
Malware © Pixabay
© Pixabay

La propagation de virus et malwares s’intensifie depuis le début de la guerre en Ukraine. Bitcoin, appareils Android et Windows, Mac… depuis plusieurs semaines tout y passe.

Cette fois, un malware russe s’attaque directement aux utilisateurs et utilisatrices Android en espionnant leurs conversations et en étant capable de les enregistrer grâce au micro de leurs smartphones.

Les pirates russes s'attaquent à Android

Les attaques informatiques se multiplient depuis le début de la guerre en Ukraine. Pendant qu’Anonymous se bat contre la Russie au travers d’une cyberguerre rondement menée, des pirates russes profitent de la situation pour répandre des virus, malwares et autres logiciels malveillants dans le but de s’emparer des données personnelles des internautes.

Les chercheurs en sécurité informatique redoublent de vigilance, et ceux de Lab52 ont découvert un nouveau malware particulièrement virulent qui s’attaque directement au système d’exploitation Android. À son origine, Turla, un collectif de hackers russes soutenu par leur gouvernement qui a été identifié en 2020. Le stratagème utilisé cette fois n’est pas sans rappeler celui de Sharkbot, le malware capable de voler des coordonnées bancaires qui se cachait dans de fausses applications antivirus sur le Google Play Store.

Un malware qui prend des photos à votre insu

Cette fois, le logiciel se terre au sein du code de l’app « Process Manager », dont la méthode de distribution auprès de ses victimes reste encore floue puisqu’elle ne semble pas s’être retrouvée sur une quelconque boutique. Une fois installé, le malware va s’emparer des données stockées dans le smartphone en demandant une multitude de permissions Android dont l’emplacement du téléphone, les SMS et appels, la liste de contacts, les paramètres audio, les coordonnées du GPS, les informations sur le Wi-Fi et réseaux de proximités.

Le logiciel malveillant va surtout s’approprier l’accès au microphone du téléphone et à l’appareil photo afin de les utiliser à l’insu de ses victimes pour prendre des clichés volés via les capteurs avant et arrière de l’appareil voire enregistrer des conversations. Toutes les données collectées seront ensuite envoyées sur un serveur à distance situé en Russie. Et pour se faire oublier des usagers piégés ou éviter qu’ils ne décident de supprimer l’application, le malware fait sournoisement disparaître l’icône de Process Manager pour mieux agir en arrière-plan. Les chercheurs s’accordent à dire que ce virus est unique en son genre puisque, en prime, il installe d’autres applications du Play Store sans l’accord du propriétaire, dont une détournée par les pirates et leur permettant de se remplir les poches rapidement. 

Source : AndroidPolice

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
18
16
crush56
Android étonnant tiens
_Reg24
Même si il est plus robuste, iOS n’est pas invulnérable!
crush56
Non c’est vrai
Pronimo
Je me demande ou les gens vont chercher ces applications pour chopé ce genre de virus
flonc
Il n’y a pas besoin d’avoir un comportement à risque pour être la victime d’une attaque. Cela peut arriver en recevant un mail, en visionnement une publicité sur un site normal, en revendant un appel ou un sms ou en ne faisant rien du tout à part être allumé.<br /> Pensez que cela a un rapport avec des activités louches ou un niveau d’intelligence de l’utilisateur donne une fausse impression de sécurité
Bondamanmanw
Et pendant ce temps : Google récupère vos SMS sans prévenir et de manière illégale<br /> Futura<br /> Google récupère vos SMS sans prévenir et de manière illégale<br /> Les applications « Messages » et « Téléphone » de Google, installées sur plus d’un milliard de smartphones, enregistrent l’activité de l’utilisateur et envoient ces données sur les serveurs de la...<br />
yam103
Le lien vers l’article Clubic qui traite du sujet: Oui : Google récupère vos données sans votre consentement sur votre smartphone Android
cirdan
Ne pas oublier que si les pirates s’attaquent surtout à Windows ou Android, ça n’est pas parce que ces OS sont plus vulnérables que les autres, c’est surtout parce qu’ils touchent un nombre beaucoup plus grand d’utilisateurs, donc potentiellement plus de victimes.<br /> Plus de 80% de parts de marché pour Android, un peu moins de 20% pour iOS, y a pas photo pour qui veut arnaquer et le phénomène est le même entre Windows, nettement dominant, et Apple et Linux.
mcbenny
Je crois qu’il va falloir appeler les choses par leur nom à un moment : une personne ou un groupe qui commet des actes qualifiables de « piraterie » au nom ou au profit direct d’un état, ce n’est pas un pirate, c’est un corsaire.
Blackalf
Un concept moyenâgeux qui n’a plus aucun sens aujourd’hui.
Belgarath
Ça va leur faire une belle jambe aux services secrets russes, d’écouter ma dernière engueulade avec ma belle-mère.
Princedemachin
Parce que tu crois être le centre du monde ? Tu crois être le seul à utiliser Android ?
Popoulo
« dont la méthode de distribution auprès de ses victimes reste encore floue puisqu’elle ne semble pas s’être retrouvée sur une quelconque boutique » : mdr. Faut appeler columbo pour démêler tout ça parce que là c’est du néant dans le vide et la porte ouverte à toutes les fenêtres. Mais tant que ça fait propagande…
tfpsly
@clubic Noëllie, la source (BleepingComputer) de votre source (AndroidPolice) semble avoir écrit quelques bêtises. Il vaut mieux aller voir l’article original par Lab52.<br /> Cette thread Twitter par un spécialiste de la sécurité de Google est intéressante sur le sujet.<br /> ce malware ne semble pas venir de Turla ni du gouvernement russe. Lab52 : « although the attribution to Turla does not seem possible given its threat capabilities. ».<br /> ce malware semble être un fork de XploitSPY - même présentation comme « Process Manager », beaucoup de code en commun. Auquel ont été rajouté des fonctionnalités comme le téléchargement d’apk comme Roz Dhan pour faire de l’argent.<br /> Il semble que la diffusion se fasse, comme pour XploitSPY, par download et installation manuelle d’un apk vérolé.<br /> flonc:<br /> Il n’y a pas besoin d’avoir un comportement à risque pour être la victime d’une attaque.<br /> Dans le cas présent - et comme souvent - si : il faut télécharger et installer manuellement un apk vérolé dans cette famille de malware basés sur tXploitSPY - lui-même basé sur L3MON.
tfpsly
Bondamanmanw:<br /> Et pendant ce temps : Google récupère vos SMS sans prévenir et de manière illégale<br /> Pas tout à fait : un hash des SMS <br /> … Messages envoie à Google un rapport qui inclut l’heure et une empreinte numérique du message. […]<br /> L’appli utilise la fonction de hachage SHA-256 pour créer une empreinte tronquée, ce qui est censé éviter de dévoiler le contenu du message<br /> L’application Téléphone envoie des rapports similaires, avec l’heure et la durée des appels reçus ou émis.<br /> Par contre on ne sait pas ce que Google fait avec ça.
phil995511
Il serait peut-être temps d’exiger de tous les fournisseurs d’OS pour téléphones portables qu’ils y intègrent une antivirus…
tfpsly
Ce truc n’est pas un virus, donc un anti-virus ne servirait à rien…<br /> Ça semble être une installation manuelle (vu la source du code forké), en autorisant tout plein de permissions. La faute est sur l’utilisateur là. On pourrait peut-être mettre une limite sur le nombre max de permissions, ou interdire certains mix, mais ça pourrait poser pb pour certains utilitaires. Un navigateur internet a déjà besoin d’énormément de perms.
bl78
C’est vrai : avec mon BlackBerry Classic sous BBOS 10, je ne suis pas trop embêté !
Belgarath
Dur dur, certain ont du mal, même avec l’humour au premier degré.
Voir tous les messages sur le forum

Lectures liées

Découvrez comment votre carte SIM pourrait protéger vos données des hackers
Attention à ce malware qui se propage et menace votre navigateur
Découvrez Proton, la toute nouvelle identité visuelle de ProtonMail
Opera VPN Pro est désormais disponible sur Windows et macOS
Zoom sur Fronton, le botnet russe qui multiplie les fake news sur les réseaux
YouTube retire 70 000 vidéos de désinformation pour contrecarrer la propagande russe sur la guerre en Ukraine
Face au malware XorDdos, Microsoft recommande son navigateur Edge aux utilisateurs de Linux
Ce bug dans PayPal permet à un hacker de manipuler les transactions
Attention, ce malware se cache dans un ficher Word vérolé, lui-même caché dans un PDF
Les Anonymous déclarent la cyberguerre à Killnet, un groupe de hackers pro-russes
Haut de page