La société de sécurité danoise Heimdal vient de découvrir un nouveau malware Android particulièrement dangereux. Au programme, prise de contrôle totale à distance ou encore effacement de l’appareil.
Mazar BOT est le nom du malware repéré par Heimdal Security et sévissant actuellement sur la plateforme Android. Le procédé d’infection ? Les pirates utilisent un simple message SMS ou MMS qui vous indique que quelqu’un a laissé un message audio/vidéo pour vous, mais que pour le lire, il vous faut installer l’application « MMS Messaging ». Bien entendu, il ne faut surtout pas le faire… sous peine de télécharger un redoutable cheval de Troie pour Android. Le lien présent dans les dits messages malveillants conduisent vers un fichier d’installation APK et si l’utilisateur ouvre ce téléchargement (notez qu’il faut au préalable avoir autorisé les installations depuis des sources tierces depuis les paramètre de l’appareil), l’infection commence.
D’importantes capacités dues au root
Ce malware est capable, dès son installation sur un appareil Android, d’en prendre le contrôle en s’attribuant les droits administrateur en “root”. Du coup, ses possibilités sont infinies : Il peut en effet accéder à vos messages reçus et en expédier lui-même (surtaxés y compris), passer des appels aux contacts du répertoire, contaminer les navigateurs Web installés, forcer le smartphone ou la tablette à passer en mode veille, accéder à Internet, lire les états du téléphone ou interroger le réseau pour en connaître le statut, modifier le fonctionnement des boutons ou encore effacer intégralement le contenu du stockage…
Liste des droits :
- SEND_SMS
- RECEIVE_BOOT_COMPLETED
- INTERNET
- SYSTEM_ALERT_WINDOW
- WRITE_SMS
- ACCESS_NETWORK_STATE
- WAKE_LOCK
- GET_TASKS
- CALL_PHONE
- RECEIVE_SMS
- READ_PHONE_STATE
- READ_SMS
- ERASE_PHONE
Botnet Tor intégré !
Mazar BOT fait bien entendu également en sorte de se maintenir dans l’appareil et se relance automatiquement au démarrage du système, un peu à la manière d’un rootkit. Mais il doit surtout son nom au fait qu’il peut prendre complètement le contrôle d’un smartphone et le faire rejoindre un réseau constitué d’autres appareils zombies (un botnet, ndlr).
Le malware installe également un client Tor pour communiquer de manière anonyme, ainsi qu’un proxy (Polipo Proxy) pour surveiller tout ce que fait l’utilisateur via une attaque de type Man-in-the-Middle. A noter que Tor est téléchargé via ces URL : https: //f-droid.org/repository/browse/?fdid=org.torproject.android et https: //play.google.com/store/apps/details?id=org.torproject.android.
Selon Heimdal, ce puissant malware pourrait bien être d’origine russe. Plusieurs signes pointent en effet en ce sens : D’une part, le fait qu’il ne peut pas être installé sur des appareils Android dont la langue d’utilisation est configurée sur « russe », d’autre part, l’éditeur n’a repéré aucun cas d’infection dans ce pays. Enfin, le code du malware a fait l’objet d’une campagne de vente sur certains forums undergrounds russes spécialisés.
Vous l’aurez compris, les serveurs de commande et de contrôle (C&C) de Mazar Bot sont situés dans le Dark Web, ce qui les rend résistants à toute attaque extérieur et assez discrets.
Comment s’en protéger simplement ?
A l’instant où cet article est rédigé, le taux de détection du malware est de 26/54 d’après VirusTotal alors qu’il n’était que de 3/54 il y a 5 jours.
Pour se protéger contre ce code malveillant, Heimdal préconise l’installation d’un antivirus Android et, surtout, l’adoption de bons comportements : ne jamais cliquer sur un lien dans un SMS/MMS, ne pas installer d’application inconnue (désactiver le paramètre permettant d’installer des application depuis des sources autres que Google Play), éviter les hotspots Wi-Fi publics, utiliser un VPN, etc.