Le malware Android utilisé par la société Hacking Team pour surveiller les mobinautes a été lâché dans la nature suite à l’immense piratage dont a été victime l’entreprise de sécurité italienne au début du mois. Il est désormais possible, pour les hackers en herbe, d’utiliser librement ce puissant malware qui peut faire des dégâts.

données privées

Au début du mois, nous vous parlions du malware GunPoder caché au sein d’un émulateur de jeux NES sous Android. Finalement, cette histoire fait pâle figure face à RCSAndroid, le malware développé par la société de sécurité italienne Hacking Team qui s’est récemment fait pirater ses propres serveurs. Les pirates ont réussi à mettre la main sur le malware RCSAndroid utilisé par la société pour la surveillance de mobinautes pour le compte d’autres entreprises. Le code source du malware fait partie des données qui ont été volées au début du mois de juin, et il est donc désormais possible pour les utilisateurs avertis d’utiliser le malware. Celui-ci est extrêmement dangereux puisqu’il est très sophistiqué.

 

Un outil d’espionnage ultra complet

RCSAndroid permet en effet d’espionner l’utilisateur d’un smartphone de plusieurs manières : en ayant accès à l’affichage du terminal en temps réel, en surveillant le contenu du presse papier, en récupérant les mots de passe des réseaux Wi-Fi et des comptes en ligne (Skype, Facebook, Twitter, Google, WhatsApp, Mail, et LinkedIn), enregistrer le son via le microphone, récupérer les SMS, MMS et mails via Gmail, récupérer la localisation du téléphone, réaliser des photos avec les capteurs de l’appareil, récupérer les contacts et les messages des messageries instantanées et enfin écouter les conversations téléphoniques, que ce soit via le réseau cellulaire ou Wi-Fi. Bref, un malware relativement complet pour espionner un mobinaute.

 

Une installation ultra simple

L’installation sur l’appareil de l’utilisateur est assez simple, puisque pour les versions 4.0 Ice Cream Sandwich à 4.3 Jelly Bean, il suffisait que l’utilisateur ouvre un lien (reçu par SMS ou email) avec le navigateur par défaut dont les failles permettaient de récupérer les accès root et installer l’APK. L’autre solution (pour Android KitKat) est l’installation de l’application BeNews capable de contourner les sécurités du Google Play et permettant de gagner les privilèges root puis d’installer la porte dérobée.

 

Lollipop mis de côté

Pour le moment, Android 5.0 Lollipop n’est pas « supporté » par ce malware mais, comme le prouve un mail rendu public par le piratage, les salariés d’Hacking Team étaient en train de développer une solution pour les appareils sous Lollipop. Pour se défendre du malware, le spécialiste Trendmicro recommande de désactiver l’installation des applications de sources tierces et d’installer une solution de sécurité. Les signes d’une infection par RCSMobile sont les redémarrages inopinés, le fait de retrouver des applications inconnues installées sur l’appareil ou le blocage régulier des applications de messagerie instantanée.

Malheureusement, si le smartphone est infecté, une simple réinitialisation ne viendrait pas au bout du malware qui se supprime uniquement avec les accès root. Il faudra alors passer par l’étape du flash du firmware de l’appareil. RCSAndroid avait déjà été repéré pendant l’été 2014 et le malware devrait être de plus en plus présent sur la toile.