Mazar : ce malware qui ouvre grand les smartphones Android
Le malware Mazar, qui cible les smartphones Android, fait l’objet d’une nouvelle alerte de sécurité : le voilà activement exploité.
Dans le monde de la sécurité informatique, Mazar ne désigne pas seulement une ville située dans le nord de l’Afghanistan : c’est aussi un malware repéré en novembre dernier à la vente sur un forum russe… et désormais activement exploité contre des smartphones Android.
La firme américaine Recorded Future, spécialisée dans les technologies prédictives appliquées à la protection des systèmes d’information, fut la première à communiquer officiellement sur ce bot présenté à l’origine par ses créateurs comme un moyen d’intercepter et d’envoyer des SMS.
Trois mois plus tard, la société danoise Heimdal Security prend le relais. Elle a constaté que Mazar était actuellement diffusé, par texto, dans le cadre d’une campagne dont l’étendue géographique n’a pas encore été déterminée.
Le texto en question signale à l’utilisateur ciblé qu’il a reçu un message multimédia et que pour le consulter, il lui faut suivre un lien – que nous ne mentionnerons pas, par précaution. Il se trouve que ce lien déclenche le téléchargement d’un fichier apk qui contient le malware.
Ce n’est pas tant cette technique de propagation somme toute classique qui retient l’attention, mais les multiples capacités de Mazar… qui ne peut toutefois s’installer qu’à deux conditions : que l’option « sources tierces » soit activée dans les paramètres (ce n’est pas le cas par défaut) et que l’utilisateur valide, de son plein gré, l’installation.
Entre l’Iran et la Russie
Si ces critères sont remplis, Mazar déverrouille complètement le téléphone (root), acquiert les droits de niveau administrateur et ouvre une porte dérobée. Dès lors, il peut aussi bien envoyer et recevoir des messages que mettre le terminal en veille, bloquer des appels, afficher des fenêtres d’alerte… et accessoirement effacer la mémoire.
Pour masquer ses communications, le malware s’appuie sur le réseau Tor, qu’il met en place via des sources légitimes. En cas de succès, un SMS est envoyé au numéro +9876543210 (situé en Iran si on se fie à l’indicateur) avec le message « Thank You ». Il contient une information supplémentaire : la géolocalisation de l’appareil.
Les créateurs de Mazar y ont aussi implémenté le proxy HTTP Polipo, normalement destiné à mettre des pages Web en cache pour accélérer la navigation, mais utilisé, dans le cas présent, pour intercepter et modifier du trafic, sur le principe d’une attaque « Man-in-the-Middle ».
Mazar peut aussi s’injecter dans Chrome via le moteur Webkit. Il vérifie par ailleurs la langue du système (commande locale.getCountry()) et ne s’installe pas sur les terminaux en russe (equalsIgnoreCase (« RU »))).
Crédit photo : kirill_makarov – Shutterstock.com