Les développeurs se tournent vers le crimeware et publient DroidJack RAT après l'échec de leur application Android

Table des matières

• Les développeurs se tournent vers le crimeware et publient DroidJack RAT après l’échec de leur application Android
• Racines légitimes
• Racines indiennes retracées
• Capacités
• Autres cas

Les développeurs se tournent vers le crimeware et publient DroidJack RAT après l’échec de leur application Android

Les chercheurs de Symantec ont analysé un nouvel outil d’accès à distance (RAT) pour Android appelé DroidJack, qui aurait commencé comme une application sur le Google Play Store. Les développeurs que Symantec a retracés jusqu’en Inde étaient apparemment déçus par l’échec de l’application Google à décoller. Cet échec les a poussés dans le monde involontaire du crimeware et a transformé l’application en un outil pour les cybercriminels.

Racines légitimes

Les chercheurs de Symantec ont surveillé l’évolution de la menace, qui a été publiée pour la première fois en avril 2013 sur Google Play sous le nom de Sandroid, une application légitime pour contrôler des PC depuis un smartphone Android. Mais l’application n’a apparemment pas attiré l’attention des utilisateurs d’Android et a sombré dans l’obscurité. Fin décembre de l’année dernière, des utilisateurs ont diffusé des nouvelles sur la disponibilité d’un outil RAT sur un forum de hackers. Cet outil identifié comme SandroRAT McAfee était annoncé comme une application Android pouvant être utilisée pour prendre le contrôle des smartphones depuis un ordinateur. Le SandroRAT était en réalité un outil d’accès à distance Android complet qui ciblait les utilisateurs bancaires via des mails de phishing et volait leurs identifiants. L’annonce redirigeait l’utilisateur vers l’application sur le Play Store. Cette application a été scrutée par des chercheurs lorsqu’elle a commencé à être diffusée via des spams au nom d’une application de sécurité Kaspersky. SandroRAT a infecté de nombreux utilisateurs en Europe, notamment en Pologne, avant d’être porté à l’attention de toutes les personnes concernées et retiré. Cependant, SandroRAT est loin d’être mort et enterré.

Selon Symantec, DroidJack (détecté par la société comme Android.Sandorat) est la dernière version du SandroRAT. Il a été annoncé le 27 juin 2014 sur le même forum de hackers et par la même personne qui avait proposé de vendre SandroRAT. DroidJack est vendu sur son propre site pour 210 $, le coût d’un package à vie.

Racines indiennes retracées

Les chercheurs ont analysé la connexion entre DroidJack, SandroRAT et l’application Sandroid et ont retracé leurs développeurs jusqu’en Inde. “Si l’auteur ou les auteurs de DroidJack ont voulu dissimuler leurs traces, ils n’ont pas bien réussi. Quelques enquêtes simples mènent aux noms et numéros de téléphone de plusieurs individus initialement impliqués dans la création de Sandroid, supposément basés à Chennai en Inde,” a écrit Peter Coogan de Symantec dans un article de blog.

Ajoutant de l’huile sur le feu, une vidéo promotionnelle de l’outil montre le GPS pointant vers un lieu populaire en Inde. Cependant, les experts notent également qu’il pourrait n’y avoir aucun lien réel entre le RAT et Sandroid, sauf la similarité de nom. DroidJack est un RAT sophistiqué qui fonctionne sans nécessiter d’accès root, et il peut être empaqueté avec n’importe quel jeu ou application légitime. L’outil peut être utilisé pour récolter principalement des détails bancaires sur l’appareil compromis, installer des APK, copier des fichiers sur un ordinateur, consulter des messages, écouter des appels téléphoniques, lister des contacts, enregistrer de l’audio et de la vidéo via le microphone et la caméra, et obtenir la localisation GPS du téléphone.

Capacités

DroidJack a des fonctionnalités similaires à d’autres RAT Android, tels que AndroRAT et Dendroid. Certaines des plus de 50 fonctionnalités proposées incluent les suivantes :

Pas d’accès root requis
Lier le serveur APK DroidJack avec n’importe quel autre jeu ou application
Installer n’importe quel APK et mettre à jour le serveur
Copier des fichiers de l’appareil vers l’ordinateur
Voir tous les messages sur l’appareil
Écouter les conversations téléphoniques effectuées sur l’appareil
Lister tous les contacts sur l’appareil
Écouter en direct ou enregistrer de l’audio depuis le microphone de l’appareil
Prendre le contrôle de la caméra de l’appareil
Obtenir le numéro IMEI, l’adresse MAC Wi-Fi et les détails de l’opérateur de téléphone
Obtenir la dernière vérification de localisation GPS de l’appareil et l’afficher sur Google Maps

Les développeurs de DroidJack ont inclus un avertissement sur leur site affirmant qu’ils n’encouragent pas l’utilisation de l’application à des fins illégitimes, mais cette tactique ne fonctionne pas vraiment.

Autres cas

En septembre de cette année, le créateur de StealthGenie a été inculpé aux États-Unis. Le créateur – un ressortissant pakistanais – a annoncé l’application comme un moyen d’espionner des conjoints infidèles. Plus tard, ils l’ont transformée en un outil de surveillance parentale en affirmant que les utilisateurs devaient obtenir une autorisation écrite de la personne ciblée.

Les agences d’application de la loi du monde entier sont impliquées dans des opérations ciblant les RAT. En mai, 100 personnes ont été arrêtées dans le cadre de raids mondiaux visant les utilisateurs du RAT BlackShades.