Les chercheurs en cybersécurité de Lab52 ont identifié un nouveau malware Android appelé Process Manager. Ce dernier est capable d'enregistrer les flux audio du terminal cible, ainsi que de lire et d'envoyer des SMS à votre place.
Bien que le malware semble partager quelques similitudes avec les logiciels malveillants propagés par le célèbre groupe de cybercriminels russes Turla, celui-ci ne serait pas à l’origine de cette variante particulière.
Pour être plus précis, la similitude entre Process Manager et d'autres malwares récurrents de Turla réside dans le fait qu’ils utilisent tous la même infrastructure d'hébergement partagé.
Un espion bien dissimulé sur votre smartphone
Une fois installé, le malware Process Manager se présente sous la forme d’icône - qui ressemble à celle classique des Paramètres (soit une roue dentée). Le logiciel malveillant trompe ainsi ses victimes, en leur faisant croire que l'application est un élément central du système Android. Ensuite, il cherche à obtenir plus d'une douzaine d'autorisations, notamment l'accès à la caméra, la localisation de l'appareil, la possibilité de lire et d'envoyer des SMS, de consulter les journaux d'appels et la liste des contacts, d'enregistrer de l'audio, et surtout d’accéder au stockage externe de l’appareil mobile.
La façon dont il obtient ces autorisations reste floue : sont-elles accordées directement par la victime après usurpation ? Ou s’agit-il d’un abus du service Android Accessibility (qui accorde les autorisations) ?
C'est là que les différences entre Process Manager et les méfaits de Turla commencent à apparaître. Après que le malware est parvenu à obtenir les autorisations, il supprime son icône et s'exécute en arrière-plan. L'utilisateur peut néanmoins savoir que l'application est en cours d'exécution, grâce à la notification permanente qui se trouve dans le menu déroulant.
Les intentions de Process Manager se distinguent aussi de celles de Turla. L'APT russe est généralement engagée dans le cyberespionnage. De son côté, Process Manager installe Dhan: Earn Wallet cash, une application populaire de système de recommandation générant de l'argent que l'on trouve sur le Play Store. Il télécharge l'application par le biais du système de parrainage, afin de faire gagner des commissions aux cybercriminels.
On ne sait pas non plus comment Process Manager est distribué, mais il est très probablement diffusé par le biais de sites facilitant l’usurpation d'identité et le phishing.
- Meilleurs gestionnaires de mots de passe : protégez plus efficacement vos identités numériques
- Meilleurs antivirus en ligne : quel service de sécurité basé sur le cloud est le plus fiable
- En complément de votre antivirus, optez pour les meilleurs VPN
Via BleepingComputer
