Par Adam Bauer
Depuis un an, des analystes de https://croissanceinvestissement.com/lookout/Lookout surveillent la diffusion de malwares de surveillance (surveillanceware) pour Android et iOS, capables d’exfiltrer des contacts, des enregistrements audio, des photos, des coordonnées GPS, etc. d’un terminal mobile. Dont certaines versions du malware sous Android étaient présentes dans le Google Play Store. Les versions iOS quant à elles étaient disponibles en dehors de l’app store, au travers de sites de phishing, et violaient le programme Apple Developer Enterprise.
Historique : Malware de surveillance sous Android
Au début de l’année dernière, Lookout a découvert un agent sophistiqué de surveillanceware sous Android qui semble avoir été créé pour le marché des interceptions légales. L’agent semble avoir été opérationnel depuis au moins cinq ans avec un mode de diffusion en trois étapes. Tout d’abord la livraison d’un petit élément, puis dans un deuxième temps d’un contenu comportant de multiples binaires (où la plupart des fonctions de surveillance sont installées), et enfin le chargement en règle générale de l’exploit DirtyCOW (CVE-2016-5195) pour obtenir un ‘root’. Security Without Borders a publié récemment une analyse de cette famille de logiciels, de façon indépendante, sur leur blog.
Plusieurs détails techniques indiquaient que le logiciel était probablement le fruit d’un programme de développement normalement financé et destiné au marché de services secrets étatique. Ces détails comprenaient l’utilisation de ‘certificate pinning’ et de cryptage de clés publiques pour les communications C2, les restrictions géographiques imposées par le C2 lors de la diffusion de la seconde étape, et les fonctions complètes de mise en œuvre parfaitement mises en oeuvre.
Les premières versions de l’application Android utilisaient une infrastructure appartenant à une entreprise appelée Connexxa S.R.L et étaient signées par un ingénieur qui détenait semble-t-il des parts dans Connexxa.
Le nom de cet ingénieur est aussi associé à une entreprise appelée eSurv S.R.L. Une société spécialisée dans les logiciels de vidéo surveillance et des systèmes de reconnaissance d’image. Et bien qu’n grand nombre d’individus se revendiquant spécialistes de la sécurité sur mobile y travaillent, c’est la seule personne ayant annoncé publiquement être en train de développer un agent de surveillance sur mobile.
De plus, eSurv était une division opérationnelle de Connexxa et a été louée à eSurv S.R.L en 2014. Cette division, ainsi que le logiciel et la marque eSurv ont été vendus par Connexxa S.R.L à eSurv S.R.L le 28 février 2016.
Lookout a signalé à Google cette menace potentielle peu de temps après sa découverte. Ensemble, au cours du second semestre 2018, nous nous sommes employés à retirer les applications du Play Store alors qu’elles étaient diffusées à grande échelle.
Développement iOS
L’analyse de ces échantillons pour Android a conduit à la découverte d’une infrastructure contenant plusieurs échantillons d’un port iOS. Jusqu’à présent, ce logiciel (ainsi que la version Android) n’a été diffusé que via des sites de phishing imitant des opérateurs mobiles en Italie et au Turkménistan.
TMCell – L’opérateur mobile appartenant à l’Etat du Turkménistan
Le déploiement pour les utilisateurs en dehors de l’App Store d’Apple a été rendu possible en trompant le système de distribution d’Apple conçu pour les entreprises. Le programme Apple Developer Enterprise vise à permettre aux organisations de distribuer des applications propriétaires et développées en interne à leurs employés sans passer par l’iOS App Store. Pour avoir accès à ce programme, il suffit pour une entreprise de satisfaire à des exigences fixées par Apple. Il n’est pas courant d’utiliser ce programme pour diffuser des malwares, mais cela s’est déjà produit plusieurs fois par le passé.
Chacun des sites de phishing contenait des liens vers un guide d’installation, qui contenait des métadonnées telles que le nom de l’application, la version, l’icône et un URL vers le fichier IPA.
Pour être distribué en dehors de l’app store, un package IPA doit contenir un profil de distribution sur mobile comportant le certificat d’une entreprise. Tous ces packages utilisaient des profils de distribution associés à des certificats de la société Connexxa S.R.L.
Certificat Utilisé
Les applications elles-mêmes prétendaient être des applications de support de l’opérateur et informaient l’utilisateur avec le message suivant : « gardez l’application installée sur votre mobile et conservez une couverture réseau WiFi pour être contacté par l’un de nos techniciens ».
L’un des packages après le lancement initial
La variante iOS n’est pas aussi sophistiquée que la version Android, et contenait un sous-ensemble des fonctionnalités offertes par les versions d’Android. En particulier, il n’a pas été observé que ces applications aient contenu ou aient téléchargé des ‘exploits’ qui auraient été nécessaires pour réaliser certains types d’activités sur des terminaux iOS.
Mais même sans ces capacités, ces applications étaient capables d’exfiltrer les types de données suivants en utilisant des API documentées :
- Contacts
- Enregistrements audio
- Photos
- Vidéos
- Localisation GPS
- Coordonnées du terminal
De plus, les applications offraient une option permettant de réaliser des enregistrements audio à distance.
Bien que différentes versions de l’application varient dans leur structure, un code malveillant était initialisé lors du lancement à l’insu de l’utilisateur, et un certain nombre de minuteurs étaient installés pour rassembler et exfiltrer des données de manière périodique.
Les données téléchargées étaient mises en attente et transmises via des requêtes HTTP PUT vers un ordinateur sur le C2. Les applications iOS exploitent la même infrastructure C2 que la version Android et utilisent des protocoles de communications similaires. Des notifications en ‘push’ étaient également utilisées pour contrôler les enregistrements audio.
Lookout a transmis à Apple les informations sur cette famille de malwares, et les certificats concernés ont été révoqués. En conséquence, aucune nouvelle version de cette application ne peut désormais être installée sur des terminaux iOS et les installations existantes ne peuvent plus être lancées. Les clients de Lookout sont aussi protégés contre cette menace à la fois sous Android et iOS.
https://blog.lookout.com/esurv-research