Mandrake : le malware Android qui reste actif dans l’ombre
Pendant plusieurs années, ce programme malveillant qui n’infecte que les appareils tournant sous Android est resté bien discret.
De la sorte il a réussi à contaminer plusieurs dizaines de milliers de smartphone à travers le monde. En terme de fonctionnalités, il n’a rien à envier aux plus sophistiqués car remplissant pratiquement les mêmes rôles qu’une certaine partie des programmes malveillants de ce genre.
Cet article va aussi vous intéresser : 12 000 applications Android potentiellement vérolées
Ce que l’on sait sur ce malware, c’est qu’il a été utilisé dans une campagne de piratage et d’espionnage réalisée de manière très sophistiquée et minutieuse. Elle a permis alors aux cybercriminels utilisant Mandrake de prendre le contrôle de plusieurs terminaux à distance et très discrètement. En effet, ce logiciel malveillant permet à ses utilisateurs de non seulement accéder aux contenus des appareils ciblés, mais de prendre aussi le contrôle de ces derniers. Ce qui facilitera alors le vol des informations telles que des identifiants de connexion, l’enregistrement de l’activité de l’écran, où l’espionnage de la position GPS de l’utilisateur principal du smartphone. Le cybercriminel peut faire tout cela en étant le plus discret possible. C’est d’ailleurs ce qui a marqué l’efficacité de ce programme depuis toutes ces années.
Ce logiciel a été mis à nu par les spécialistes de la sécurité informatique de BitDefender, société Européenne spécialisée dans la fourniture de solutions de sécurité, et l’un des leaders de ce domaine. Les chercheurs de BitDefender ont détaillé dans un document publié sur le site web l’ensemble des capacités du programme malveillant Mandrake. Selon ces derniers, ce logiciel serait en activité depuis 2016. Il y avait déjà eu auparavant, des descriptions de plusieurs chercheurs faisant état de son utilisation sur des cibles australiennes. Mais depuis moment, le monde entier est dorénavant touché par ce programme.
Le directeur de la recherche de Bitdefender, Bogdan Botezatu, commentaires à propos de Ce logiciel : « Le but ultime de Mandrake est le contrôle total de l’appareil, ainsi que la compromission de compte. C’est l’un des logiciels malveillants Android les plus puissants que nous ayons vus jusqu’à présent ». Pour le moment, les spécialistes qui étudient l’évolution de ce programme n’ont pas réussi à déterminer avec exactitude l’ampleur des campagnes informatiques initiées en se fondant sur ce dernier. Cependant, ils savent que ce dernier ne se propage pas à travers des emails corrompus. Il semblerait que ces utilisateurs ciblent en particulier des personnes, et déterminent une manière spéciale pour les infecter. Une fois cela réalisé, ils procèdent alors à la collecte d’informations. « Nous estimons le nombre de victimes à plusieurs dizaines de milliers pour la vague actuelle, et probablement à des centaines de milliers pour toute la période de quatre ans », notait BitDefender.
De plus, le programme possède une fonctionnalité particulière. En effet, une fois que le travail de collecte d’information et d’espionnage des cybercriminels est terminé, ces derniers grâce à un interrupteur sur le logiciel, peuvent l’effacer de l’appareil corrompu. De sorte à effacer toute leur trace par la même occasion. C’est d’ailleurs ce qui justifie le fait que les utilisateurs de ce programme soient restés longtemps cachés. Sans oublier aussi le fait qu’ils ont réussi à développer plusieurs applications comportant ce programme et même les mettre à disposition depuis le PlayStore. Les chercheurs ont même signifié que des applications de ce genre ont été conçu spécialement pour des pays en particulier.
Pour tromper la vigilance des utilisateurs, les logiciels connus pour abriter Mandrake étaient en partie exempt de publicités, et souvent recevaient de manière régulière des mises à jour de sécurité. Elles arrivaient même à échapper au contrôle de Google Play Protect. Et cela grâce à un processus très bien orchestré. D’abord lorsque l’application est installée sur le smartphone, il ne contient pas le programme malveillant. Ce n’est qu’après son installation qu’elle se connecte au serveur pour charger l’ensemble des capacités nécessaires pour faire fonctionner Mandrake correctement. « Le logiciel malveillant fonctionne par étapes, la première étape étant une application inoffensive sans comportement malveillant, autre que la capacité de télécharger et d’installer une charge utile à la deuxième étape lorsque cela est expressément demandé. On peut affirmer sans risque que son opérateur ne déclenchera pas ce comportement malveillant lorsqu’il fonctionnera dans l’environnement d’analyse de Google », indique M. Botezatu.
Selon les spécialistes de BitDefender, les compagnes de piratage servant de Mandrake sont toujours en cours. Le logiciel une fois installé ne manque pas de solliciter plusieurs autorisations supplémentaires : « Ce qui semble être un processus simple, comme passer un accord de licence d’utilisateur final et l’accepter, se traduit en fait en coulisses par la demande et l’octroi d’autorisations extrêmement puissantes. Avec ces autorisations, le malware obtient le contrôle total de l’appareil et des données qu’il contient », notait M. Botezatu.
Accédez maintenant à un nombre illimité de mot de passe :
