Une fois infiltré sur votre smartphone Android, le cheval de Troie WolfRAT peut déployer ses outils d’espionnage. Son objectif : enregistrer vos conversations sur WhatsApp et Facebook Messenger.
Découvert mardi 19 mai par les chercheurs de Cisco Talos, ce nouveau malware a été construit sur les bases de DenDroid, un cheval de Troie populaire au début des années 2010, qui se vendait à petit prix (300 dollars). Victime de son succès, le code du logiciel malveillant a fini par fuiter publiquement en 2015 comme le rappelle ZDNet, ce qui a permis aux chercheurs en sécurité de développer des protections très efficaces contre lui.
Les hackers déguisent WolfRAT en fausse mis à jour de Google Play ou de Flash. // Source : Louise Audry pour Numerama.
Le malware ne vise pour l’instant que des utilisateurs thaïlandais, mais il pourrait être revendu à d’autres groupes, ce qui généraliserait son utilisation.
Une fausse mise à jour pour leurrer les utilisateurs
Si WolfRAT fonctionne à distance, il doit cependant être installé par la victime. Pour piéger leurs cibles, les opérateurs du malware créent de fausses mises à jour de services répandus comme Flash ou Google Play.
Un clic plus tard, le cheval de Troie s’installe dans le système Android et lance ses attaques : capture de vidéos et d’image, interception de SMS, copie des historiques de navigations… Il interagit avec un serveur C2 (Commande et contrôle) contrôlé par les hackers, qui peuvent ainsi aspirer les fichiers du smartphone de la victime et en envoyer d’autres.
Le malware déclenche un outil d’enregistrement de l’écran lorsque l’utilisateur ouvre les apps de messagerie qu’il cible, comme WhatsApp. Puisque c’est l’écran qui est enregistré, le chiffrement de bout en bout de l’app n’est d’aucune protection.
Un malware trop grossier ?
Les chercheurs de Cisco Talos attribuent la création du WolfRAT à un vendeur de logiciels espions, Wolf Research. Problème : la structure aurait été démantelée en 2019 au profit d’une nouvelle, LokD. « Nous affirmons avec une grande confidence que cet acteur opère encore, développe toujours des malwares et les utilise encore. », insistent les experts. « Wolf Research prétend avoir terminé son activité, mais nous voyons clairement que leurs précédents travaux sont poursuivis sous une autre couverture. »
Le développement de WolfRAT a vraisemblablement été bâclé
Si elle s’avère toujours active, la structure a en tout cas perdu en sophistication. Les chercheurs ont relevé des erreurs grossières — qu’ils qualifient « d’amateurs » –dans le code de l’application. Certaines fonctionnalités ne sont pas utilisées, plusieurs parties du code sont redondantes, d’autres ne servent à rien, ou encore le malware s’appuie sur des copier-coller de logiciels en open source. WolfRAT, bien que dangereux, n’a donc pas l’allure d’un malware de pointe.
Cisco Talos a une piste pour expliquer ce manque de sophistication : pressés par leurs clients, les développeurs de Wolf Research auraient bâclé le travail, et laissé de côté les grossièretés du code.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
