BRata ressemblait à une mise à jour de WhatsApp mais était en fait un malware (cheval de Troie) hébergé par le Play Store de Google. Il a été nommé d’après les chercheurs de Kaspersky comme un Android RAT (Remote Administration Tool) et franchiseur (BR).
Dans le cadre d’une nouvelle tendance observée par la société russe, l'”espion des masses” a pu, sur un appareil Android infecté, permettre de surveiller l’écran en temps réel. Autrement dit, l’outil reflétait l’écran du smartphone pour transmettre toutes les activités de la victime à l’agresseur : un intrus silencieux.
Dmitry Bestuzhev, directeur de l’équipe de recherche de Kaspersky en Amérique latine, et Santiago Pontiroli, analyste de la sécurité pour la même équipe, ont donné plus de détails qu’un cheval de Troie Android dont le principal média de diffusion était l’app store officiel de Google. Détecté pour la première fois en janvier 2019, le BRata a également été trouvé dans des magasins d’applications alternatives pour Android, sous forme de fichier .apk.
Cette campagne avait une cible spécifique : les franchisés, les utilisateurs d’Android de Lollipop (5.0). Des vecteurs d’infection très spécifiques ont été utilisés pour amener les victimes à la page de la boutique Google légitime : notifications push sur les sites compromis, messages de phishing dans WhatsApp ou par SMS, liens sponsorisés dans les recherches Google (annonces de termes de recherche) et ingénierie sociale.
Dans un deuxième temps, des logiciels malveillants ont de nouveau été découverts “déguisés” pour corriger une faille réelle utilisée dans les attaques contre WhatsApp (CVE-2019-3568) en juin. Au total, plus de 20 variantes de l’attaque ont été détectées et ce faux patch a spécifiquement reçu plus de 10 000 téléchargements sur le Google Play Store, ajoutant 550 victimes par jour à son total de visites jusqu’à ce qu’il soit découvert.
Sommaire
Le BRata en action
En plus de révéler ce qui se passe sur l’écran du téléphone infecté, les logiciels malveillants peuvent voler les courriels, les messages échangés dans les applications, l’emplacement de l’utilisateur et son historique de navigation, les mots de passe et les connexions bancaires (via le keylogger), et aussi activer la caméra et le microphone de l’appareil. Quelque chose de similaire aux applications de surveillance des enfants, cependant, à l’insu et sans l’autorisation du propriétaire du téléphone portable, dans une invasion préméditée.
Ce n’est pas encore fini, les logiciels malveillants sont également capables de réduire l’intensité de l’écran à distance pour cacher ce que l’auteur du crime fait au téléphone. Tout cela en utilisant la fonction Android Accessibility Services pour interagir avec les autres applications installées sur l’appareil. Il y a deux ans, en 2017, Google a promis de faire payer aux développeurs une justification de l’utilisation de cette fonctionnalité. Dans le cas contraire, cela bloquerait leur approbation.
Le mauvais usage de l’API d’accessibilité abuse de l’accès à des fonctionnalités réellement utiles telles que la saisie automatique, la réutilisation des informations de connexion entre les applications (gestion des mots de passe) et le copier-coller libre des données dans le Clipboard.
La seule chose étrange qui est apparue différemment dans le processus d’installation est que BRata a demandé des autorisations pour utiliser les services d’accessibilité. C’est tout, pas plus. Le nom du développeur de l’application était également différent”, explique M. Pontiroli.
Lorsqu’il a été trompé, le téléchargeur de la fausse mise à jour de WhatsApp a vu le message : “Update applied successfully”. Développé par des franchisés qui se concentrent sur les utilisateurs de franchises bancaires en ligne, BRata est un excellent exemple de la façon dont l’espionnage est devenu un type d’attaque qui ne vise plus des victimes très spécifiques, mais tout le monde.
Un panneau d’administration basé sur des données que les logiciels malveillants ont pu capturer a été créé, en utilisant la rétro-ingénierie, et démontré par l’équipe de Kaspersky.
Depuis 2014, nous assistons à l’espionnage d’entreprise, mais ce que nous voyons maintenant est une évolution des implants destinés aux utilisateurs ordinaires”, analyse Pontiroli.
Google, le chat et la souris
Une fois découvert et signalé à Google, c’est le genre de problème qui peut être résolu en quelques heures. Au centre de la discussion se trouve Google Bouncer, un système automatisé qui recherche les anomalies de sécurité et les logiciels malveillants dans le magasin Android.
Pour échapper à la détection de Google, les criminels utilisent certains types de protection par code. Comme le système [Google] recherche des comportements standardisés, dans ce cas, il n’a rien détecté…, estime l’analyste. Une fois qu’un logiciel malveillant a été détecté par un produit de l’entreprise, l’information a été partagée dans le Cloud et analysée.
Recherché par PerlmOl, Google a déclaré qu’actuellement le Google Play Store a 2 milliards d’applications pour Android. L’entreprise affirme qu’elle ne commente pas les cas particuliers et que pour qu’un développeur puisse demander l’inclusion d’une application dans le magasin, il doit suivre les règles de Google. Sinon, il pourrait être puni pour ce .
Après avoir été soumise pour approbation, chaque nouvelle demande fait l’objet d’une évaluation qui dure au moins 3 jours. Toutefois, ce délai peut varier en fonction de plusieurs facteurs (…). Pendant cette période, le programme est soumis à un examen pour vérifier s’il répond à chaque exigence spécifique de notre Règlement sur les logiciels indésirables et, tout programme qui viole et est potentiellement nuisible pour l’utilisateur, est soumis à des mesures appropriées pour assurer la sécurité”, a informé Google.
En plus du filtre de pré-approbation, Google a également créé un programme qui vérifie activement et automatiquement les appareils Android : Google Play Protect. Sur la base de cette technologie, nous analysons environ 50 milliards d’applications par jour à la recherche de menaces. Si un comportement suspect est identifié, le logiciel est exclu du magasin et l’utilisateur est averti ? a déclaré le géant de la recherche dans un statement.
Échange de données sur la criminalité
C’est un fait que la principale cible de BRata jusqu’à présent a été la France, mais un outil de traque comme celui-ci a le potentiel d’attaquer les utilisateurs d’Android partout dans le monde. Bestuzhev révèle que des kits pour les agresseurs sont facilement vendus sur Internet et que d’autres criminels peuvent utiliser les mêmes outils à l’avenir dans un autre pays.
Aujourd’hui, pratiquement tout le monde y a accès, car les logiciels malveillants sont échangés sur le marché clandestin pour 3 000 ?, il se ferme. L’expert indique également que les kits sont également échangés en échange de services ou d’autres logiciels malveillants.
*Les données proviennent du “Panorama des cybermenaces en Amérique latine” de Kaspersky de 2019.
**Le journaliste s’est rendu en Argentine à l’invitation de la société.