Pour gérer vos consentements :

Mazar : ce malware qui ouvre grand les smartphones Android

Dans le monde de la sécurité informatique, Mazar ne désigne pas seulement une ville située dans le nord de l’Afghanistan : c’est aussi un malware repéré en novembre dernier à la vente sur un forum russe… et désormais activement exploité contre des smartphones Android.

La firme américaine Recorded Future, spécialisée dans les technologies prédictives appliquées à la protection des systèmes d’information, fut la première à communiquer officiellement sur ce bot présenté à l’origine par ses créateurs comme un moyen d’intercepter et d’envoyer des SMS.

Trois mois plus tard, la société danoise Heimdal Security prend le relais. Elle a constaté que Mazar était actuellement diffusé, par texto, dans le cadre d’une campagne dont l’étendue géographique n’a pas encore été déterminée.

Le texto en question signale à l’utilisateur ciblé qu’il a reçu un message multimédia et que pour le consulter, il lui faut suivre un lien – que nous ne mentionnerons pas, par précaution. Il se trouve que ce lien déclenche le téléchargement d’un fichier apk qui contient le malware.

Ce n’est pas tant cette technique de propagation somme toute classique qui retient l’attention, mais les multiples capacités de Mazar… qui ne peut toutefois s’installer qu’à deux conditions : que l’option « sources tierces » soit activée dans les paramètres (ce n’est pas le cas par défaut) et que l’utilisateur valide, de son plein gré, l’installation.

Entre l’Iran et la Russie

Si ces critères sont remplis, Mazar déverrouille complètement le téléphone (root), acquiert les droits de niveau administrateur et ouvre une porte dérobée. Dès lors, il peut aussi bien envoyer et recevoir des messages que mettre le terminal en veille, bloquer des appels, afficher des fenêtres d’alerte… et accessoirement effacer la mémoire.

Pour masquer ses communications, le malware s’appuie sur le réseau Tor, qu’il met en place via des sources légitimes. En cas de succès, un SMS est envoyé au numéro +9876543210 (situé en Iran si on se fie à l’indicateur) avec le message « Thank You ». Il contient une information supplémentaire : la géolocalisation de l’appareil.

Les créateurs de Mazar y ont aussi implémenté le proxy HTTP Polipo, normalement destiné à mettre des pages Web en cache pour accélérer la navigation, mais utilisé, dans le cas présent, pour intercepter et modifier du trafic, sur le principe d’une attaque « Man-in-the-Middle ».

Mazar peut aussi s’injecter dans Chrome via le moteur Webkit. Il vérifie par ailleurs la langue du système (commande locale.getCountry()) et ne s’installe pas sur les terminaux en russe (equalsIgnoreCase (« RU »))).

Crédit photo : kirill_makarov – Shutterstock.com

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago