Au début du mois, nous vous parlions du malware GunPoder caché au sein d’un émulateur de jeux NES sous Android. Finalement, cette histoire fait pâle figure face à RCSAndroid, le malware développé par la société de sécurité italienne Hacking Team qui s’est récemment fait pirater ses propres serveurs. Les pirates ont réussi à mettre la main sur le malware RCSAndroid utilisé par la société pour la surveillance de mobinautes pour le compte d’autres entreprises. Le code source du malware fait partie des données qui ont été volées au début du mois de juin, et il est donc désormais possible pour les utilisateurs avertis d’utiliser le malware. Celui-ci est extrêmement dangereux puisqu’il est très sophistiqué.
Un outil d’espionnage ultra complet
RCSAndroid permet en effet d’espionner l’utilisateur d’un smartphone de plusieurs manières : en ayant accès à l’affichage du terminal en temps réel, en surveillant le contenu du presse papier, en récupérant les mots de passe des réseaux Wi-Fi et des comptes en ligne (Skype, Facebook, Twitter, Google, WhatsApp, Mail, et LinkedIn), enregistrer le son via le microphone, récupérer les SMS, MMS et mails via Gmail, récupérer la localisation du téléphone, réaliser des photos avec les capteurs de l’appareil, récupérer les contacts et les messages des messageries instantanées et enfin écouter les conversations téléphoniques, que ce soit via le réseau cellulaire ou Wi-Fi. Bref, un malware relativement complet pour espionner un mobinaute.
Une installation ultra simple
L’installation sur l’appareil de l’utilisateur est assez simple, puisque pour les versions 4.0 Ice Cream Sandwich à 4.3 Jelly Bean, il suffisait que l’utilisateur ouvre un lien (reçu par SMS ou email) avec le navigateur par défaut dont les failles permettaient de récupérer les accès root et installer l’APK. L’autre solution (pour Android KitKat) est l’installation de l’application BeNews capable de contourner les sécurités du Google Play et permettant de gagner les privilèges root puis d’installer la porte dérobée.
Lollipop mis de côté
Pour le moment, Android 5.0 Lollipop n’est pas « supporté » par ce malware mais, comme le prouve un mail rendu public par le piratage, les salariés d’Hacking Team étaient en train de développer une solution pour les appareils sous Lollipop. Pour se défendre du malware, le spécialiste Trendmicro recommande de désactiver l’installation des applications de sources tierces et d’installer une solution de sécurité. Les signes d’une infection par RCSMobile sont les redémarrages inopinés, le fait de retrouver des applications inconnues installées sur l’appareil ou le blocage régulier des applications de messagerie instantanée.
Malheureusement, si le smartphone est infecté, une simple réinitialisation ne viendrait pas au bout du malware qui se supprime uniquement avec les accès root. Il faudra alors passer par l’étape du flash du firmware de l’appareil. RCSAndroid avait déjà été repéré pendant l’été 2014 et le malware devrait être de plus en plus présent sur la toile.
Votre café et votre dose de tech vous attendent sur WhatsApp chaque matin avec Frandroid.
on se sent moins en securité
de toute manière je ne crois pas en la bonté de l'être humain toutes nos données personnelles sont déjà collectées par google ou par ses "applications" hier je voulais installer l'appli Mcdonald pour commander un menu, bein l'appli me demande l'accès aux historiques de mon téléphones, à mes photos, me contacts etc. Tout ça pour commander un big Tasty? Fuck! Bref tout ça pour dire: que ce soit Google le maléfique qui collecte mes données ou une société autre.. peu m'importe. Je ne serai pas accro à l'itinérance, je reppasserai volontiers au 3310
C'est ça.
Même une application invisible peut être installée, donc désinstallée :)
Ah c'est bien ce que je pensais, sinon a quoi ca sert de "passer outre le root, pour empecher la desinstallation"
Le malware est capable de cacher l'icône de l'application, mais selon Trendmicro, ce n'est pas encore le cas. Donc on verrait bien l'application.
Alors pourquoi ne pas demander clairement au lieu de passer par des périphrases ? Le lien de la source est celui de plus complet, puisque ce sont les chercheurs à la base de la découverte. Malheureusement, ils ne donnent pas la solution pour retirer proprement le malware, même en étant root ...
Donc ça veut bien qu'en décochant la case, tu ne risques plus rien non ?
"Pour se défendre du malware, le spécialiste Trendmicro recommande de désactiver l’installation des applications de sources tierces et d’installer une solution de sécurité." :/
Il y a écrit que non dans l'article.
Oui sauf que xprivacy a aussi les droits root et qu'il applique un model de permissions qui memet des popus pour accepter toutes les permissions, pour chaque nouvelle appli installée. Donc faudrait voir si l'appli en question peut s'installer sans etre detectée par xprivacy.
Si on désactive l'installation d'applications ne venant pas du Play Store ça peut quand même s'installer ? Merci
Et où est-ce que je peux télécharger ce malware? C:
évidemment que vous ne comprenez pas ... cétait un parallèle pas clair pour que vous compreniez que le votre n'était pas clair non plus. et insister avec votre histoire de bios ne sert à rien, ce qui est demandé ici c'est une explication plus claire et plus technique sur comment le malware s'incruste et comment le détecter quand on a un accès root et des compétences au dessus de celles de l'utilisateur lambda (ou a defaut un lien vers une source d'information plus complète), pas des parallèles avec un autre systeme qui n'ont que peu de sens ici quand on veut rentrer un peu plus dans les détails.
1: oui maintenant la signature sera connu et ... des petits malin vont crypter et changer quelques ligne et POUF l'antivirus ne poura plus le detecter magique n'est ce pas... 2: les clients de hacking team sont majoritairement des pays arabes et asiatique, mais cela n'empeche pas des pays comme les USA, la russie, l'australie, le luxembourg ou l'espagne d'etre dans leur liste de client
Merci de la precision, c'etait ma question, car je vous assure que ce n'est pas clair, et votre reponse, n'est toujours pas claire ! Dans l'article vous parlez d'un apk qui s'installe naturelement, et dans votre derniere reponse vous indiquez "l'application peut etre invisible" je dois comprendre que vous savez pas ? ou que c'est aleatoire ? Apres je veux bien comprendre votre paralelle au bios, même si ca parait vraiment extreme, mais j'ai des gros doutes sur la non detection du truc, surtout avec le code source en main, meme si on peut soit disant pas l'enlever, me dites pas qu'on peut et pourra pas le detecter. Apres si c'est encore trop tot pour etre sur, je peux le comprendre aussi.
Le formatage compromis ? Je ne comprends pas. Mais pour faire un parallèle avec le monde PC, c'est comme si le malware s'était installé dans le BIOS. Un formatage ne servirait alors à rien et il faudrait flasher ton BIOS pour effacer le malware.
Les antivirus ne peuvent détecter que les virus connus, maintenant que le code source de celui-ci est dans la nature, les sociétés d' av ne peuvent plus l' ignorer et vont forcement le rajouter dans leurs base de données. PS Les gouvernements qui ont fait appelle à Hacking Team sont plus des pays du tiers monde que des pays développés, ces derniers préfèrent ne pas passer par des tiers et ont généralement leurs propres équipes de hackers...
ben voyons, et les gens reformatent leur pc parce que le formatage a été compromis ? non désolé, c'est très loin d'être clair.
"on vend bien des armes traditionnelles (avions rafales) au Qatar, une dictature appliquant un islam très rigoriste." La religion d'une dictature m'importe peu, on a bien vu que même l'athéisme d'Etat a mené à des régimes sanguinaires comme en URSS, pays officiellement athée. Et puis le Qatar fait partie d'une coalition contre Daesh, c'est donc un gage de "sécurité" quelque part. En réalité, on a plus à craindre de la dimension "dictature" que de la nuance religieuse.
"Malheureusement, si le smartphone est infecté, une simple réinitialisation ne viendrait pas au bout du malware qui se supprime uniquement avec les accès root. Il faudra alors passer par l’étape du flash du firmware de l’appareil. RCSAndroid avait déjà été repéré pendant l’été 2014 et le malware devrait être de plus en plus présent sur la toile." Si le firmware doit être flashé c'est qu'il a été modifié. C'est donc bien indiqué. Pour une fois que FrAndroid fait pas un article à l’arrache on va éviter de leurs cracher dessus. ;)
Je pense que développer des applications mal vaillantes n'est pas interdit. C'est leur utilisation qui est interdite puisque tu peut porter plainte contre quelqu'un qui a infecté ton téléphone. Dans le cas de cette société les utilisateur sont les services de l'état (intelligence, police, police politique). Donc il faut voir si les lois de cet état autorise ces services à nous espionner. Dans le cas de la France nous venons juste de voir nos représentants (députés) donner leur accord pour que l'état puisse utiliser ce genre de moyens :) en gros c'est légal et cette société n'est pas forcément la plus compétence. Il existe de bien meilleurs moyens de l'autre coté de l'atlantique.
Justement si, tout ce que dit Ubireedoff est indiqué dans l'article. L'application peut très bien être transparente et invisible.
Les virus sont forcément développés "intentionnellement". Le but est quand même de prendre le contrôle de machines ou d'en soutirer des informations. Ça apparait pas magiquement sur la toile.
ce que fait hacking team est ILLEGAL, sauf que leur client sont des gouvernements....... (ou d'autres grandes boites aux methodes a chier) Hacking team est simplement une entreprise qui fait a plus grande echelle et avec des moyens plus important ce que plusieurs petit groupuscule font ... apres, pourquoi elle a pas fermé, simplement car les clients sont ceux qui font les loi et ca les a bien arrangé de trouvé une entreprise informatique specialisé dans des virus...
a mon avis ... NON sinon les gouvernement du monde ne paierai pas des fortunes a hacking team... car je doute que ceux qui se font espionné soit assez stupide pour ne pas avoir d'antivirus...
Effectivement ce n'est pas du tout précisé, bien au contraire, quelle est ta source ?
Non il active les droits root sans demander et fait ce qu'il veut en toute transparence derrière.
Qu'est ce que tu a pas compris ? Le malware s'installe au plus profond du système du téléphone. Un peu comme si sur un PC il s'installait dans le BIOS. Donc si tu désinstalle l'app qui avait installé le malware il resterait là à tout pomper. La seule possibilité Flasher le Firmware pour régler le problème.
[…] FrAndroid » Actualités Générales […]
Bah oui c'est légal, faut te renseigner mec. C'est des boites occidentales (européennes ou américaines) qui vendent des soft pour surveiller la population à certains dictateurs (Lybie, Syrie, etc). Avec la loi renseignement en France, va y avoir un marché aussi ^^
Petite question, si on a xprivacy par exemple. Tu cliques sur le lien en question, ca t'installe l'appli, mais du coup ca va afficher des popups pour les autorisations quand il essayera d'enregistrer le micro, ou d'autres choses jpense non?
Bah c'etait une boite où le secret régnait et vu que ses principaux client était des États pas étonnant que personne ne soit venu les faire chier juridiquement.
Oué, c'est marrant du coup :)
J'aime bien la solution "on peux pas l'enlever sans root alors faut tout effacer" heu ouais super, a part ca pour les gens normaux, c'est quoi le nom de l'app a desinstaller ?
Là on rentre doucement dans la théorie du complot mais... x)
Dans de mauvaise main ce malware peut génerer de beau petit revenu. Suffit que le tel envoie un SMS sur un service Allopass (Sans que l'envoie du SMS soit visible par le propiètaire), une ou deux fois par mois et ca fait une belle rente :-)
C'est tout à fait légal, seul l'instalation sur un tel sans l'accord du propriètaire du tel est illégale. Eux ne faisant que fournir l'application à leur client (théoriquement), il ne font rien d'illégale.
Si je me souviens bien, le boulot officiel de la hacking team était de d'améliorer la sécurité de leur client mais en vérité ils trouvaient des failles et les revendait au plus offrant
Faut bien que la NSA et les différents services de sécurité intérieure se fournissent en compétence pour agir ! Donc dans de tel cas, ils font appels à des entreprises de développement numérique indépendantes (projets confidentiels...)... Les différentes forces de l'ordre ne fabriquent pas leurs armes, elles se fournissent et les achètent à un fabriquant qui fait son commerce... On rentre dans un vaste sujet... mais demain... tout le monde sera sur écoute avec la loi renseignement, ce malware tombe à point tiens !! Peut être même que le piratage de hacking-team a été financé ?!! ;)
C'est ce que j'ai cru comprendre oui... C'est pas joli joli tout ça... Apparemment ils sont Italiens, leur état n'y voit pas d'inconvénient à ce qu'une boite pareille fonctionne ? :-(
J'avoue que développer intentionnellement des virus c'est très très moyen, voir complètement con. Pas besoin de virus pour prouver des failles. Puis surtout ces gros naze se sont fait hacker....
Lol, c'est limite un virus belge ce malware. Un peu plus il faut une procédure pour s'infecter sois même...
Mais tout ce que faisait Hacking-Team était légal ?... Je veux dire, mis à part la NSA etc... Des boites de bases ont le droit de développer de tels trucs ? J'ai un gros doute... Depuis qu'on entend parler d'eux j'ai envie de dire "mais ils se prennent pour qui eux ?!", peut-être que je me trompe. Si quelqu'un peut m'éclaircir ?
:-)
Google et les fabricants de téléphone vont simplement répondre qu'il faut acheter un nouvel appareil avec la nouvelle version d'Android.
Ça fait un peu peur quand même ... mais bon avec un antivirus ca devrait le faire ;)<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
C'est une blague ? Un malware qui fait autant de choses !?
Entre les SMS qui font redémarrer les téléphones en exploitant des failles Apple et ça y a du mieux à faire sur la sécurité mobile. <i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
Ça forcera les constructeurs ainsi que Google à rendre plus sécurisé Android. Un mal pour un bien.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix