{"id":9929,"date":"2018-01-17T10:14:24","date_gmt":"2018-01-17T10:14:24","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=9929"},"modified":"2020-05-07T17:30:47","modified_gmt":"2020-05-07T17:30:47","slug":"skygofree-smart-trojan","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/skygofree-smart-trojan\/9929\/","title":{"rendered":"Skygofree \u2014 un cheval de Troie d’espionnage sophistiqu\u00e9 pour Android"},"content":{"rendered":"

La majorit\u00e9 des chevaux de Troie se ressemblent : apr\u00e8s \u00eatre entr\u00e9s dans un dispositif, ils volent les informations de paiement du propri\u00e9taire, minent des crypto-devises pour les attaquants ou cryptent les donn\u00e9es et exigent une ran\u00e7on. Mais certains montrent des capacit\u00e9s qui rappellent les films d\u2019espionnage hollywoodiens.<\/p>\n

Nous avons d\u00e9couvert r\u00e9cemment un cheval de Troie cin\u00e9matographique dans ce genre appel\u00e9 Skygofree (cela n\u2019a rien \u00e0 voir avec le service de t\u00e9l\u00e9vision Sky Go ; il porte le nom d\u2019un des domaines qu\u2019il utilisait). Skygofree regorge de fonctions, dont certaines n\u2019avaient jamais \u00e9t\u00e9 rencontr\u00e9es ailleurs. Par exemple, il peut suivre l\u2019emplacement d\u2019un appareil sur lequel il est install\u00e9 et activer l\u2019enregistrement audio lorsque le propri\u00e9taire se trouve \u00e0 un certain endroit. Dans la pratique, cela signifie que les agresseurs peuvent commencer \u00e0 \u00e9couter les victimes quand, par exemple, elles arrivent au bureau ou visitent la maison du PDG.<\/p>\n

Une autre technique int\u00e9ressante employ\u00e9e par Skygofree consiste \u00e0 connecter subrepticement un smartphone ou une tablette infect\u00e9s \u00e0 un r\u00e9seau Wi-Fi contr\u00f4l\u00e9 par les attaquants \u2013 m\u00eame si le propri\u00e9taire de l\u2019appareil a d\u00e9sactiv\u00e9 toutes les connexions Wi-Fi de l\u2019appareil. Cela permet de collecter et d\u2019analyser le trafic de la victime. En d\u2019autres termes, quelqu\u2019un, quelque part, saura exactement quels sites ont \u00e9t\u00e9 consult\u00e9s et quels sont les identifiants, mots de passe et num\u00e9ros de carte qui ont \u00e9t\u00e9 saisis.<\/p>\n

Le programme malveillant dispose \u00e9galement de quelques fonctions qui l\u2019aident \u00e0 fonctionner en mode veille. Par exemple, la derni\u00e8re version d\u2019Android peut arr\u00eater automatiquement les processus inactifs pour \u00e9conomiser la batterie, mais Skygofree est capable de contourner cette fonctionnalit\u00e9 en envoyant p\u00e9riodiquement des notifications syst\u00e8me. Et sur les smartphones con\u00e7us par l\u2019un des grands noms de la technologie, o\u00f9 toutes les applications sauf les favorites, sont arr\u00eat\u00e9es lorsque l\u2019\u00e9cran est \u00e9teint, Skygofree s\u2019ajoute automatiquement \u00e0 la liste des favoris.<\/p>\n

Les malwares peuvent \u00e9galement surveiller les applications populaires telles que Facebook Messenger, Skype, Viber et WhatsApp. Dans ce dernier cas, les d\u00e9veloppeurs ont de nouveau fait preuve de savoir-faire \u2013 le cheval de Troie lit les messages WhatsApp via les Services d\u2019accessibilit\u00e9. Nous avons d\u00e9j\u00e0 expliqu\u00e9<\/a> comment cet outil pour les utilisateurs malentendants ou malvoyants peut \u00eatre utilis\u00e9 par des intrus pour contr\u00f4ler un appareil infect\u00e9. C\u2019est une sorte d'\u00a0\u00bb\u00a0\u0153il num\u00e9rique\u00a0\u00a0\u00bb qui lit ce qui est affich\u00e9 \u00e0 l\u2019\u00e9cran, et dans le cas de Skygofree, il recueille les messages de WhatsApp. L\u2019utilisation des services d\u2019accessibilit\u00e9 n\u00e9cessite la permission de l\u2019utilisateur, mais le malware cache la demande d\u2019autorisation derri\u00e8re une autre requ\u00eate apparemment innocente.<\/p>\n

Enfin et surtout, Skygofree peut allumer secr\u00e8tement la cam\u00e9ra frontale et prendre une photo lorsque l\u2019utilisateur d\u00e9verrouille l\u2019appareil \u2013 on ne peut que deviner comment les criminels utiliseront ces photos.<\/p>\n

Cependant, les auteurs de ce cheval de Troie innovant n\u2019ont pas renonc\u00e9 aux fonctionnalit\u00e9s plus banales. Skygofree peut \u00e9galement intercepter des appels, des messages SMS, des entr\u00e9es de calendrier et d\u2019autres donn\u00e9es utilisateur.<\/p>\n

La promesse d\u2019un Internet rapide<\/h2>\n

Nous n\u2019avons d\u00e9couvert Skygofree que r\u00e9cemment, fin 2017, mais notre analyse montre que les attaquants l\u2019utilisent \u2013 et l\u2019ont am\u00e9lior\u00e9 constamment \u2013 depuis 2014. Au cours des trois derni\u00e8res ann\u00e9es, il est pass\u00e9 d\u2019un malware plut\u00f4t simple \u00e0 un spyware complet et multifonctionnel.<\/p>\n

Le malware est distribu\u00e9 par le biais de faux sites Web d\u2019op\u00e9rateurs mobiles, o\u00f9 Skygofree est d\u00e9guis\u00e9 en mise \u00e0 jour pour am\u00e9liorer la vitesse de l\u2019Internet mobile. Si un utilisateur tombe dans le pi\u00e8ge et t\u00e9l\u00e9charge le cheval de Troie, il affiche une notification indiquant que l\u2019installation est cens\u00e9e \u00eatre en cours, se cache de l\u2019utilisateur et demande des instructions suppl\u00e9mentaires au serveur de commande. En fonction de la r\u00e9ponse, il peut t\u00e9l\u00e9charger diff\u00e9rentes charges utiles<\/a> : les attaquants ont des armes adapt\u00e9es \u00e0 toutes les situations.<\/p>\n

Mieux vaut pr\u00e9venir<\/h2>\n

\u00c0 ce jour, notre service de protection cloud n\u2019a enregistr\u00e9 que quelques infections, toutes localis\u00e9es en Italie. Mais cela ne signifie pas que les utilisateurs d\u2019autres pays peuvent baisser la garde ; les distributeurs de logiciels malveillants peuvent changer leur public cible \u00e0 tout moment. La bonne nouvelle, c\u2019est que vous pouvez vous prot\u00e9ger contre ce cheval de Troie avanc\u00e9 comme de toutes les autres infections :<\/p>\n