Le vol de données de la société d’espionnage Hacking Team a permis de dévoiler au grand jour des failles zero day qui, une fois corrigées, ont rendu nos machines plus sûres. Pour autant, cette intrusion a également exposé d’autres éléments qui pourraient avoir de fâcheuses conséquences.
Une arme lâchée dans la nature
Ainsi, parmi les données dérobées se trouve le code source d’un malware extrêmement élaboré et efficace, qui permet d’infecter les appareils sous Android, même quand ils fonctionnent avec les dernières versions de l’OS de Google – généralement moins exposées à ce genre de problème.
Dans un post sur le sujet, un chercheur en sécurité de Trend Micro indique d’ailleurs que ce malware, nommé RCS Android, pour Remote Control System Android, « peut être considéré comme un des malwares les plus complexes et les plus professionnels jamais découverts ».
L’exposition au vu de tous du RCS Android est tout à la fois une bonne nouvelle et une source d’inquiétude. Côté positif, il permet aux experts d’étudier le code, et donc de trouver des parades à cet outil des plus dangereux… Côté négatif, il donne à tous les apprentis pirates informatiques une arme redoutable, bien plus puissante que ce qu’ils auraient pu développer eux-mêmes.
Déjà utilisé et en cours d’amélioration
RCS Android permet en effet de prendre des captures d’écran et des photos à distance, de surveiller le presse-papier, de récupérer les mots de passe des réseaux Wi-Fi, des comptes en ligne (Facebook, Skype, Twitter, Google, etc.), d’enregistrer depuis le micro du smartphone à tout moment, y compris lors des appels, de mettre la main sur les SMS, MMS et mails Gmail, ainsi que sur les contacts ou encore de noter la position géographique de l’utilisateur.
Quand il était au main des ingénieurs de Hacking Team et de ses clients, le RCS Android a été utilisé activement depuis 2012. Il a été découvert par des chercheurs en sécurité en 2014, mais c’est bien la première fois que le code est totalement exposé… et accessible à tous.
Le malware utilisait au moins deux méthodes pour infecter un appareil. La première passait par un SMS pour attirer l’utilisateur vers un site Web piégé. Ce dernier exploitait alors une faille connue dans le navigateur d’Android des versions 4.0 à 4.3. La deuxième méthode repérée passe par une fausse application d’information, appelée BeNews, qui était disponible sur le Play Store officiel d’Android.
Si le malware avait été repéré l’année dernière, les développeurs de la société d’espionnage italienne travaillaient apparemment à le rendre fonctionnel sous la dernière version d’Android (5.x). C’est en tout cas ce que laisse entendre quelques mails internes à Hacking Team qui ont été eux aussi dérobés. En revanche, il n’existe aucune preuve que ce travail de mise à jour de RCS Android ait été terminé.
Appel à la prudence
Les chercheurs en sécurité du monde entier appellent les utilisateurs d’Android à être extrêmement prudents. L’expert de Trend Micro indique ainsi que les utilisateurs de mobile doivent prêter attention à des signes de monitoring de leur appareil et cite quelques comportements à surveiller : redémarrage impromptu, applications inhabituelles et indésirées installées sur le smartphone, application de messagerie instantanée qui se fige tout à coup, etc.
Si l’appareil venait à être corrompu, l’analyste de Trend Micro rappelle que la porte dérobée utilisée par RCS Android ne peut pas être supprimée sans privilège root. En conséquence de quoi « les utilisateurs pourraient avoir besoin de demander l’aide du fabricant de l’appareil pour mettre à jour le micrologiciel » de leur smartphone, conclut-il.
A lire aussi :
Mac OS X : une faille critique non corrigée a été découverte dans Yosemite – 23/07/2015
Sources :
Blog Trend Micro via Ars Technica
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
