Découvrez Monokle, une Famille de Logiciels Malveillants Android Capable de Voler et de Modifier les mots de Passe
Special Technology Center (STC) est une société de développement de logiciels basée à Saint-Pétersbourg, en Russie, et le gouvernement américain en a pas été particulièrement heureux. En 2016, Barack Obama a imposé des sanctions à STC parce que son administration estimait qu il agissait de une des trois sociétés qui avaient aidé le gouvernement russe à immiscer dans les élections présidentielles de 2016 aux États-Unis. On pense que de nombreux experts talentueux et sophistiqués travaillent pour STC, et les chercheurs de la société de sécurité Lookout semblent convaincus que ces mêmes experts sont responsables de la création d'une variété de logiciels malveillants Android, non documentée auparavant, appelée Monokle.
Table of Contents
Monokle et la connexion STC
Comme nous le verrons dans une minute, Monokle est un logiciel de surveillance mobile extrêmement sophistiqué et polyvalent, et parce que de telles applications malveillantes sont généralement développées par des personnes qui savent ce qu elles font, les attribuant souvent à un groupe spécifique de pirates informatiques. est presque impossible. Les experts de Lookout pensent toutefois qu il existe de nombreuses preuves liant Monokle à STC.
Selon le rapport technique de Lookout , STC a notamment pour objectif de développer une suite de produits de défense pour les appareils Android, qui serait vendue exclusivement aux agences gouvernementales russes. La société dispose également une application de panneau de commande appelée App Control par laquelle sont gérés les autres services de STC. Lorsque les experts de Lookout ont parcouru, ils ont constaté qu App Control tentait de déterminer si Monokle était installé sur le périphérique.
En outre, un des produits les plus connus de STC est une application antivirus Android appelée Defender. Après avoir examiné de près infrastructure de commande et de contrôle (C & C) de Monokle, équipe de Lookout est rendu compte que certains de ces éléments chevauchaient avec les serveurs principaux utilisés par Defender. Pour couronner le tout, des certificats ont également été partagés entre les produits de sécurité de STC et Monokle.
Si les chercheurs de Lookout ont raison et que Monokle a bien été créé par STC, les développeurs ont pas trop cherché à dissimuler leurs traces, ce qui est étrange compte tenu du niveau de sophistication démontré par le programme malveillant.
La polyvalence de Monokle est sa caractéristique déterminante
Monokle peut, entre autres, enregistrer des frappes au clavier, supprimer et télécharger des fichiers, envoyer des messages, filtrer des contacts, des informations sur appareil, des courriels, des données de connexion, des listes applications installées, ainsi que des historiques appels et de navigation. Il peut également prendre des photos, des vidéos et des captures écran. il dispose un accès root, il peut exécuter des commandes.
Tout cela est assez standard pour ce type de malware. Monokle a cependant quelques astuces dans sa manche qui le distinguent de la foule. Il utilise les services accessibilité Android pour capturer et filtrer des informations à partir de fichiers Microsoft Office et Google Docs, ainsi que applications de messagerie instantanée telles que Whatsapp, Viber, Snapchat, etc. Il permet de réaliser des enregistrements écran même lorsque capturez le mot de passe, le code PIN ou le modèle utilisé pour déverrouiller appareil. Une fois qu il a capturé le secret, il peut le changer et verrouiller les gens de leur téléphone ou de leur tablette.
La fonctionnalité la plus avancée, cependant, est la possibilité d’installer des certificats sécurisés sur des périphériques compromis.. Grâce à elle, une attaque Man-in-The-Middle contre le trafic TLS est possible.
Dans ensemble, Monokle est pas quelque chose que vous voulez avoir sur votre appareil Android. La bonne nouvelle est que la plupart d’entre vous ne le rencontrerez probablement pas.
Monokle est destiné à des cibles spécifiques
Le premier échantillon examiné par Lookout remonte à 2015, mais Monokle est toujours utilisé dans les attaques à ce jour. Comme avec la plupart des familles de programmes malveillants Android, le principal vecteur infection se présente sous la forme applications connectées à des chevaux de Troie et distribuées dans des magasins applications tiers. La plupart entre eux imitent des applications réelles, et certains ont même une fonctionnalité légitime, ce qui peut rendre la détection plus difficile.
Sur la base des titres et des icônes des applications malveillantes, les experts ont conclu que Monokle était utilisé dans des attaques très ciblées visant des groupes utilisateurs spécifiques. Certaines des applications étaient clairement conçues pour attirer l’attention des personnes associées au groupe militant Ahrar al-Sham en Syrie. autres visaient des utilisateurs situés dans ex-République soviétique Ouzbékistan et un troisième groupe visait des personnes situées dans la région du Caucase en Europe orientale.
Si ce que disent les experts de Lookout est vrai, Monokle est très probablement utilisé par les agences gouvernementales russes qui cherchent à espionner des individus particuliers. Si votre nom ne figure pas sur des listes très spécifiques, vous ne serez probablement pas affecté par Monokle. Évidemment, cela ne signifie pas que le malware doit être sous-estimé.