Passer au contenu

Ce malware Android peut espionner un smartphone presque sans laisser de traces

Le malware RedHook revient avec une méthode plutôt astucieuse (et dangereuse) pour prendre le contrôle d’un smartphone Android. Il détourne plusieurs systèmes bas niveau pour obtenir des privilèges élevés, sans ordinateur, sans câble USB et sans exploiter de faille.

RedHook n’est pas tout à fait nouveau : ce cheval de Troie d’accès à distance, ou RAT, avait déjà été repéré il y a tout juste un an. Sa dernière version a cependant gagné quelques fonctions dont les propriétaires de smartphones se passeraient volontiers, comme l’explique l’équipe de chercheurs en sécurité de Group-IB.

Un parasite difficile à déloger

Le malware est diffusé à l’aide de faux sites imitant des administrations, des banques ou même le Play Store de Google. Les fraudeurs contactent leurs victimes par téléphone ou via des applications de messagerie, puis les convainquent d’installer un fichier APK présenté comme indispensable pour accéder à un service ou terminer une procédure.

Pour paraître plus crédibles, les attaquants hébergent parfois leurs fichiers sur des plateformes parfaitement légitimes, comme GitHub ou les espaces de stockage Amazon S3. Après l’installation, l’application affiche de faux formulaires demandant des identifiants, des informations personnelles et des codes de sécurité.

Elle guide aussi l’utilisateur jusqu’aux réglages d’accessibilité d’Android, qu’il faut activer pour profiter, assure-t-elle, de toutes ses fonctions. C’est là que les ennuis commencent. Grâce aux services d’accessibilité d’Android, RedHook peut piloter automatiquement l’interface. Il ouvre les paramètres, appuie sept fois sur le numéro de version pour activer les options pour développeurs, enclenche le débogage sans fil et récupère le code d’association.

RedHook peut ensuite exécuter des commandes avancées, modifier des réglages protégés, s’accorder des autorisations sensibles ou installer et supprimer des applications sans afficher les boîtes de dialogue habituelles. Aucun correctif ne suffira à régler le problème : il ne s’agit pas d’une faille, mais d’un usage détourné de fonctions existantes.

RedHook accepte désormais 53 commandes envoyées à distance. Ses opérateurs peuvent consulter les SMS et les contacts, saisir du texte, effectuer des gestes, prendre des captures d’écran, activer la caméra, verrouiller le téléphone ou installer d’autres APK. Le malware peut également diffuser l’écran en direct. Ses privilèges élevés lui permettent même de contourner la demande de consentement normalement imposée par Android.

Ses créateurs ont enfin prévu plusieurs moyens de le maintenir en activité : fenêtre presque invisible d’un pixel, lecture audio silencieuse, blocage de la mise en veille du processeur et deux services capables de se relancer mutuellement. Après un redémarrage, RedHook restaure automatiquement ses accès.

D’abord observé au Vietnam, le malware cible aussi désormais l’Indonésie. La meilleure protection reste assez simple : éviter les APK provenant de sites inconnus et se méfier des applications qui réclament l’accès aux fonctions d’accessibilité ou aux options pour développeurs.

🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.

Source : Group-IB

Mode