Un outil ultra-sophistiqué, un malware à tout faire, une arme déterminante pour les cybercriminels… Le ton des experts en sécurité informatique illustre leur inquiétude au sujet de RCSAndroid.
La menace n’est pas nouvelle ; on peut considérer qu’elle est connue dans le milieu depuis l’année dernière. Mais elle revient sur le devant de la scène après le piratage subi par Hacking Team.
Début juillet, on apprenait que la firme italienne, qui développe des solutions de surveillance électronique commercialisées notamment auprès de gouvernements, avait été victime d’une attaque informatique ayant entraîné la fuite d’environ 400 Go de données.
Outre des e-mails et des listes de clients, du code source a été exfiltré. Celui de RCS Android (« Remote Control System Android ») en fait partie.
Et les révélations sont à la hauteur des craintes : l’outil est capable de faire des captures d’écran, d’aspirer le contenu du presse-papiers, de récupérer des mots de passe (réseau Wi-Fi, comptes en ligne) ou encore d’enregistrer avec le microphone.
Il peut également collecter SMS, MMS et e-mails, récolter des informations sur le terminal qu’il infecte, prendre des photos avec l’ensemble des capteurs disponibles, accéder aux contacts et espionner les logiciels de messagerie instantanée, mais aussi intercepter des appels voix en direct en se connectant au service système « mediaserver » d’Android.
Le fichier de configuration associé à RCSAndroid permet de remonter jusqu’à 2012 pour ce qui est de ses premières mises en oeuvre. Les équipes de Trend Micro constatent notamment que le malware, un temps associé à un serveur de commande et de contrôle (C&C) situé aux États-Unis, est configuré pour s’activer, entre autres, via un SMS envoyé depuis un numéro en République tchèque.
Il y a correspondance avec plusieurs e-mails dérobés à Hacking Team. Tout du moins suffisamment pour déterminer que plusieurs organisations tchèques ont traité avec la firme italienne autour de RCSAndroid. Parmi elles, un partenaire majeur des Jeux olympiques.
RCSAndroid comprend quatre composantes principales : l’une axée sur l’infection des terminaux, par SMS, e-mail ou via une application ; une autre consistant en du code natif de bas niveau pour passer outre les protections d’Android ; une troisième sous la forme d’une application malveillante codée en Java ; puis le serveur C&C pour envoyer et recevoir des commandes.
Il existe plusieurs méthodes pour infecter un appareil avec RCSAndroid. La plus commune consiste à envoyer, par SMS ou par e-mail, une URL qui, à l’ouverture par le navigateur par défaut d’Android 4.0 à 4.3, déclenche l’exploitation des failles CVE-2012-2825 (corruption de mémoire) et CVE-2012-2871 (dépassement de capacité). Ce qui permet une élévation de privilèges et l’installation d’une porte dérobée qui permet de déposer la charge utile (l’APK malveillante).
Autre possibilité : contourner Google Play pour installer l’APK. Notamment grâce aux failles CVE-2014-3153 (modification de pointeurs dans le noyau Linux) et CVE-2013-6282 (lecture ou écriture d’adresses mémoire sur le kernel, pour les plates-formes ARM v6k et v7).
En plus de collecter des données, RCSAndroid embarque un module « Event Action Trigger » qui déclenche certaines actions en fonction du contexte : heure, niveau de charge de la batterie, connectivité, applications en cours d’exécution, statut de la carte SIM, mots-clés dans les SMS, etc.
Parmi les actions qui peuvent être lancées, la mise à jour du malware, le transfert des données collectées vers le serveur puis leur effacement, l’exécution de commandes shell, l’envoi de SMS avec un contenu défini ou encore la désactivation du réseau ou de l’accès root.
Capable de détecter les émulateurs et les dispositifs de bac à sable (sandbox), RCSAndroid exploite aussi la solution DexGuard pour mieux masquer son code. Il présente par ailleurs une fonctionnalité non exploitée : manipuler des données dans le gestionnaire de paquets pour ajouter ou supprimer des composantes et des permissions. Tout en masquant l’icône de l’application.
Crédit photo : BLACKDAY – Shutterstock.com
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…