Les chercheurs ont déclaré que les logiciels espions librement disponibles permettent la surveillance, le vol d’informations d’identification et le ciblage financier sur une large gamme de versions de systèmes d’exploitation mobiles.
Un nouveau logiciel espion multiplateforme vendu ouvertement via Telegram abaisse la barrière pour les pirates cherchant un accès à distance aux appareils mobiles.
Appelée « ZeroDayRAT » par son développeur, la boîte à outils est commercialisée via les canaux Telegram en tant que solution d’accès à distance prête à être déployée. Les chercheurs d’iVerify ont retracé sa première activité au 2 février, le logiciel espion étant distribué sous forme d’APK pour Android et de charge utile pour iOS.
« Le développeur gère des canaux dédiés aux ventes, au support client et aux mises à jour régulières, offrant aux acheteurs un point d’accès unique à un panel de logiciels espions pleinement opérationnel », ont déclaré les chercheurs dans un article de blog. « Aucune expertise technique n’est requise. La plateforme va au-delà de la collecte de données typique vers la surveillance en temps réel et le vol financier direct. »
Les capacités autrefois réservées aux opérateurs des États-nations sont désormais emballées, documentées et vendues simplement sur Telegram avec un support client, ont-ils noté.
Surveillance étendue et vol d’identifiants
ZeroDayRAT est conçu comme une plateforme mobile de surveillance et d’exfiltration de données plutôt que comme un simple voleur d’informations. Selon iVerify, le malware peut collecter un large éventail de données sensibles sur les appareils infectés, notamment des messages, des journaux d’appels, des contacts, des informations de localisation, des photos et des fichiers. Il peut également récolter des notifications et des métadonnées sur les appareils, donnant ainsi aux opérateurs une visibilité sur l’activité des utilisateurs et les applications installées.
« Les notifications sont capturées séparément : nom de l’application, titre, contenu, horodatage », ont indiqué les chercheurs. « Messages WhatsApp, notifications Instagram, appels manqués, mises à jour Telegram, alertes YouTube, événements système. Sans ouvrir une seule application, un attaquant a une visibilité passive sur presque tout ce qui se passe sur le téléphone. »
Le panneau « Comptes » de la plateforme a été jugé particulièrement préoccupant car il énumère tous les comptes enregistrés (avec les noms d’utilisateur ou les adresses e-mail associés) sur l’appareil infecté, y compris des services tels que Google, WhatsApp, Instagram, Facebook, Telegram, Amazon, Flipkart, PhonePe, Paytm et Spotify. Les chercheurs ont averti que cette vue consolidée de l’empreinte numérique d’une victime pourrait fournir aux attaquants suffisamment d’informations pour tenter de s’emparer de comptes ou mener des attaques d’ingénierie sociale très ciblées.
L’exfiltration des données est gérée via une infrastructure de commande centralisée, permettant aux opérateurs de surveiller plusieurs victimes et de récupérer des informations à la demande. iVerify a noté que la boîte à outils est fournie avec un panneau de gestion, une documentation et des mises à jour basés sur le Web, indiquant une offre commercialisée destinée à une utilisation répétée plutôt qu’à une campagne ponctuelle.
L’étendue des versions de systèmes d’exploitation prises en charge, allant d’Android 5 à 16 et d’iOS jusqu’à 26, augmente encore la portée potentielle de la boîte à outils sur les appareils grand public et d’entreprise.
S’appuyer sur la tromperie et non sur les exploits
Malgré son nom, ZeroDayRAT ne dépend pas de vulnérabilités non divulguées du système d’exploitation pour infecter les appareils. Au lieu de cela, le principal vecteur d’infection est l’ingénierie sociale. Les victimes sont persuadées d’installer une application malveillante ou un profil de configuration déguisé en logiciel légitime, souvent transmis via des liens partagés via SMS, e-mail ou plateformes de messagerie.
Bien que les chercheurs n’aient pas développé la chaîne d’infection, sur Android, cela implique généralement le chargement d’une application en dehors du Play Store officiel, parfois accompagné d’invites pour accorder des autorisations étendues. Sur iOS, l’installation peut s’appuyer sur des mécanismes de provisionnement d’entreprise ou des profils approuvés par l’utilisateur qui permettent à l’application malveillante de s’exécuter en dehors du processus d’examen de l’App Store.
Étant donné que l’infection dépend de l’interaction de l’utilisateur plutôt que d’exploits sans clic, empêcher l’installation non autorisée d’applications reste un contrôle clé contre de telles menaces. « La détection de menaces telles que ZeroDayRAT nécessite un EDR mobile qui va au-delà de la gestion traditionnelle des appareils », ont déclaré les chercheurs, affirmant qu’iVerify dispose de solutions de détection, d’investigation et de réponse automatisée pour aider les utilisateurs à identifier une compromission dans le BYOD et les flottes gérées.
