Une fois infiltré sur votre smartphone Android, le cheval de Troie WolfRAT peut déployer ses outils d’espionnage. Son objectif : enregistrer vos conversations sur WhatsApp et Facebook Messenger.
Découvert mardi 19 mai par les chercheurs de Cisco Talos, ce nouveau malware a été construit sur les bases de DenDroid, un cheval de Troie populaire au début des années 2010, qui se vendait à petit prix (300 dollars). Victime de son succès, le code du logiciel malveillant a fini par fuiter publiquement en 2015 comme le rappelle ZDNet, ce qui a permis aux chercheurs en sécurité de développer des protections très efficaces contre lui.
Le malware ne vise pour l’instant que des utilisateurs thaïlandais, mais il pourrait être revendu à d’autres groupes, ce qui généraliserait son utilisation.
Une fausse mise à jour pour leurrer les utilisateurs
Si WolfRAT fonctionne à distance, il doit cependant être installé par la victime. Pour piéger leurs cibles, les opérateurs du malware créent de fausses mises à jour de services répandus comme Flash ou Google Play.
Un clic plus tard, le cheval de Troie s’installe dans le système Android et lance ses attaques : capture de vidéos et d’image, interception de SMS, copie des historiques de navigations… Il interagit avec un serveur C2 (Commande et contrôle) contrôlé par les hackers, qui peuvent ainsi aspirer les fichiers du smartphone de la victime et en envoyer d’autres.
Le malware déclenche un outil d’enregistrement de l’écran lorsque l’utilisateur ouvre les apps de messagerie qu’il cible, comme WhatsApp. Puisque c’est l’écran qui est enregistré, le chiffrement de bout en bout de l’app n’est d’aucune protection.
Un malware trop grossier ?
Les chercheurs de Cisco Talos attribuent la création du WolfRAT à un vendeur de logiciels espions, Wolf Research. Problème : la structure aurait été démantelée en 2019 au profit d’une nouvelle, LokD. « Nous affirmons avec une grande confidence que cet acteur opère encore, développe toujours des malwares et les utilise encore. », insistent les experts. « Wolf Research prétend avoir terminé son activité, mais nous voyons clairement que leurs précédents travaux sont poursuivis sous une autre couverture. »
Le développement de WolfRAT a vraisemblablement été bâclé
Si elle s’avère toujours active, la structure a en tout cas perdu en sophistication. Les chercheurs ont relevé des erreurs grossières — qu’ils qualifient « d’amateurs » –dans le code de l’application. Certaines fonctionnalités ne sont pas utilisées, plusieurs parties du code sont redondantes, d’autres ne servent à rien, ou encore le malware s’appuie sur des copier-coller de logiciels en open source. WolfRAT, bien que dangereux, n’a donc pas l’allure d’un malware de pointe.
Cisco Talos a une piste pour expliquer ce manque de sophistication : pressés par leurs clients, les développeurs de Wolf Research auraient bâclé le travail, et laissé de côté les grossièretés du code.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !