Hacking Team : la résurgence de RCS Android inquiète les experts
Avec le piratage de Hacking Team, du code source du malware RCS Android a été divulgué. Les spécialistes en sécurité s’inquiètent de cette menace polymorphe et très aguerrie.
Un outil ultra-sophistiqué, un malware à tout faire, une arme déterminante pour les cybercriminels… Le ton des experts en sécurité informatique illustre leur inquiétude au sujet de RCS Android. La menace n’est pas nouvelle ; on peut considérer qu’elle est connue dans le milieu depuis l’année dernière. Mais elle revient sur le devant de la scène après le piratage subi par Hacking Team.
Début juillet, on apprenait que la firme italienne, qui développe des solutions de surveillance électronique commercialisées notamment auprès de gouvernements, avait été victime d’une attaque informatique ayant entraîné la fuite d’environ 400 Go de données.
Un malware à tout faire
Outre des e-mails et des listes de clients, du code source a été exfiltré. Celui de RCS Android (« Remote Control System Android ») en fait partie. Et les révélations sont à la hauteur des craintes : l’outil est capable de faire des captures d’écran, d’aspirer le contenu du presse-papiers, de récupérer des mots de passe (réseau WiFi, comptes en ligne) ou encore d’enregistrer avec le microphone.
Il peut également collecter SMS, MMS et e-mails, récolter des informations sur le terminal qu’il infecte, prendre des photos avec l’ensemble des capteurs disponibles, accéder aux contacts et espionner les logiciels de messagerie instantanée, mais aussi intercepter des appels voix en direct en se connectant au service système « mediaserver » d’Android.
Le fichier de configuration associé à RCS Android permet de remonter jusqu’à 2012 pour ce qui est de ses premières mises en œuvre. Les équipes de Trend Micro constatent notamment que le malware, un temps associé à un serveur de commande et de contrôle (C&C) situé aux États-Unis, est configuré pour s’activer, entre autres, via un SMS envoyé depuis un numéro en République Tchèque.
Il y a correspondance avec plusieurs e-mails dérobés à Hacking Team. Tout du moins suffisamment pour déterminer que plusieurs organisations tchèques ont traité avec la firme italienne autour de RCS Android. Parmi elles, un partenaire majeur des Jeux olympiques.
Un malware polymorphe
RCSAndroid comprend quatre composantes principales : l’une axée sur l’infection des terminaux, par SMS, e-mail ou via une application ; une autre consistant en du code natif de bas niveau pour passer outre les protections d’Android ; une troisième sous la forme d’une application malveillante codée en Java ; puis le serveur C&C pour envoyer et recevoir des commandes.
Il existe plusieurs méthodes pour infecter un appareil avec RCS Android. La plus commune consiste à envoyer, par SMS ou par e-mail, une URL qui, à l’ouverture par le navigateur par défaut d’Android 4.0 à 4.3, déclenche l’exploitation des failles CVE-2012-2825 (corruption de mémoire) et CVE-2012-2871 (dépassement de capacité). Ce qui permet une élévation de privilèges et l’installation d’une porte dérobée qui permet de déposer la charge utile (l’APK malveillante), explique ITespresso.
Autre possibilité : contourner Google Play pour installer l’APK. Notamment grâce aux failles CVE-2014-3153 (modification de pointeurs dans le noyau Linux) et CVE-2013-6282 (lecture ou écriture d’adresses mémoire sur le kernel, pour les plates-formes ARM v6k et v7).
En plus de collecter des données, RCS Android embarque un module « Event Action Trigger » qui déclenche certaines actions en fonction du contexte : heure, niveau de charge de la batterie, connectivité, applications en cours d’exécution, statut de la carte SIM, mots-clés dans les SMS, etc.
Parmi les actions qui peuvent être lancées, la mise à jour du malware, le transfert des données collectées vers le serveur puis leur effacement, l’exécution de commandes shell, l’envoi de SMS avec un contenu défini ou encore la désactivation du réseau ou de l’accès root.
Capable de détecter les émulateurs et les dispositifs de bac à sable (sandbox), RCS Android exploite aussi la solution DexGuard pour mieux masquer son code. Il présente par ailleurs une fonctionnalité non exploitée : manipuler des données dans le gestionnaire de paquets pour ajouter ou supprimer des composantes et des permissions. Tout en masquant l’icône de l’application.
A lire aussi :
Gunpoder : encore une nouvelle famille de malwares pour Android
Google verse jusqu’à 30 000 dollars par faille découverte dans Android
