Vidéo: Logiciel espion pour téléphone portable Iphone ou Android 📲 (Novembre 2024)
Des chercheurs en sécurité ont disséqué et analysé les composants mobiles de logiciels espions commerciaux utilisés par les gouvernements du monde entier et pouvant être utilisés pour enregistrer et voler subrepticement des données à partir d'appareils mobiles.
Développés par la société italienne Hacking Team, les modules mobiles du système de contrôle à distance permettent aux services répressifs et aux services de renseignement de réaliser de nombreuses opérations de surveillance sur les terminaux Android, iOS, Windows Mobile et BlackBerry, selon les chercheurs de Kaspersky Lab et du Citizen Lab. à la Munk School of Global Affairs de l'Université de Toronto. Hacking Team vend RCS, également connu sous le nom de Da Vinci et Galileo, aux gouvernements pour espionner les ordinateurs de bureau, les ordinateurs portables et les appareils mobiles. Dans certains pays, RCS est utilisé pour espionner des dissidents politiques, des journalistes, des défenseurs des droits de l'homme et des personnalités politiques opposées.
Les chercheurs de Kaspersky Lab et de Citizen Lab ont conjointement procédé à l’ingénierie inversée des modules mobiles. Morgan Marquis-Boire, de Citizen Lab, et Sergey Golovanov de Kaspersky, ont présenté leurs résultats lors d’une conférence de presse à Londres mardi.
"Il était de notoriété publique que les produits HackingTeam contenaient des logiciels malveillants destinés aux téléphones mobiles. Cependant, ils étaient rarement vus", écrit Golovanov sur le blog Securelist.
Ce que RCS peut faire
Les composants iOS et Android peuvent enregistrer des frappes au clavier, obtenir des données d'historique de recherche et permettre la collecte secrète d'e-mails, de messages texte (même ceux envoyés à partir d'applications telles que WhatsApp), d'historique d'appels et de carnets d'adresses. Ils peuvent prendre des captures d'écran de l'écran de la victime, prendre des photos avec l'appareil photo du téléphone ou activer le GPS pour surveiller la position de la victime. Ils peuvent également activer le microphone pour enregistrer des appels téléphoniques et Skype, ainsi que des conversations se déroulant à proximité de l'appareil.
"Activer secrètement le microphone et prendre régulièrement des photos de la caméra assure une surveillance constante de la cible, ce qui est beaucoup plus puissant que les opérations traditionnelles de cape et de poignard", a écrit Golovanov.
Les composants mobiles sont conçus sur mesure pour chaque cible, ont déclaré des chercheurs. "Une fois que l'échantillon est prêt, l'attaquant le remet sur le périphérique mobile de la victime. Certains des vecteurs d'infection connus incluent le spearphishing via l'ingénierie sociale, souvent associé à des exploits, notamment le zero-day; et des infections locales via des câbles USB lors de la synchronisation mobile. appareils ", a déclaré Golovanov.
Le long bras de surveillance
RCS a une portée mondiale massive, les chercheurs ayant identifié 326 serveurs dans plus de 40 pays. La majorité des serveurs de commandement étaient hébergés aux États-Unis, suivis du Kazakhstan, de l'Équateur, du Royaume-Uni et du Canada. Le fait que les serveurs de commande se trouvent dans ces pays ne signifie pas nécessairement que les services répressifs de ces pays utilisent RCS, ont déclaré les chercheurs.
"Cependant, il est logique pour les utilisateurs de RCS de déployer des C & C dans les endroits qu’ils contrôlent, là où les risques de problèmes juridiques transfrontaliers ou de saisies de serveurs sont minimes", a déclaré M. Golovanov.
Les dernières découvertes s'appuient sur un précédent rapport de mars, selon lequel des chercheurs avaient constaté qu'au moins 20% de l'infrastructure RCS était située dans une douzaine de centres de données aux États-Unis.
Se cacher en mode furtif
Des chercheurs du Citizen Lab ont découvert une charge utile de piratage informatique dans une application Android qui semblait être une copie de Qatif Today, une application d'actualités arabe. Ce type de tactique, qui consiste à injecter des charges malveillantes dans des copies d'applications légitimes, est assez courant dans le monde Android. La charge utile tente d'exploiter une vulnérabilité dans les versions antérieures du système d'exploitation Android pour obtenir un accès root sur le périphérique.
"Bien que cet exploit ne soit pas efficace par rapport à la dernière version du système d'exploitation Android, un pourcentage élevé d'utilisateurs utilisent encore des versions héritées pouvant être vulnérables", ont écrit des chercheurs de Citizen Lab dans un article de blog.
Les modules Android et iOS utilisent des techniques avancées pour éviter de vider la batterie du téléphone, de restreindre l'exécution de certaines tâches à des conditions spécifiques et de fonctionner de manière discrète afin que les victimes n'en soient pas conscientes. Par exemple, le microphone peut être activé et un enregistrement audio ne peut être effectué que lorsque la victime est connectée à un réseau WiFi particulier, a déclaré Golovanov.
Les chercheurs ont découvert que le module iOS n'affecte que les appareils jailbreakés. Toutefois, si le périphérique iOS est connecté à un ordinateur infecté par la version de bureau ou portable du logiciel, le programme malveillant peut exécuter à distance des outils de jailbreak, tels que Evasi0n, pour charger le module malveillant. Tout cela se ferait à l'insu de la victime.
Citizen Lab a également reçu une copie de ce qui semble être le manuel d'utilisation de l'équipe de piratage informatique d'une source anonyme. Le document explique en détail comment construire l'infrastructure de surveillance pour fournir les charges utiles malveillantes aux victimes, comment gérer les données de renseignement collectées à partir des périphériques victimes et même comment obtenir des certificats de signature de code.
Par exemple, le manuel suggère d'utiliser Verisign, Thawte et GoDaddy pour les certificats. Les attaquants doivent acheter un "certificat de développeur" directement auprès de TrustCenter si la cible utilise un périphérique Symbian et s’enregistrer pour un compte Microsoft et un compte Windows Phone Dev Center afin d’infecter Windows Phone.
Ce logiciel de surveillance repose sur l'hypothèse que les acheteurs utiliseront ces outils principalement à des fins répressives et que les éléments criminels n'y auront pas accès. Cependant, le fait qu’ils soient disponibles signifie qu’ils peuvent être utilisés contre des cibles à motivation politique, ce qui a de graves conséquences pour la sécurité et la vie privée en général.
