Dans le monde de la sécurité informatique, Mazar ne désigne pas seulement une ville située dans le nord de l’Afghanistan : c’est aussi un malware repéré en novembre dernier à la vente sur un forum russe… et désormais activement exploité contre des smartphones Android.
La firme américaine Recorded Future, spécialisée dans les technologies prédictives appliquées à la protection des systèmes d’information, fut la première à communiquer officiellement sur ce bot présenté à l’origine par ses créateurs comme un moyen d’intercepter et d’envoyer des SMS.
Trois mois plus tard, la société danoise Heimdal Security prend le relais. Elle a constaté que Mazar était actuellement diffusé, par texto, dans le cadre d’une campagne dont l’étendue géographique n’a pas encore été déterminée.
Le texto en question signale à l’utilisateur ciblé qu’il a reçu un message multimédia et que pour le consulter, il lui faut suivre un lien – que nous ne mentionnerons pas, par précaution. Il se trouve que ce lien déclenche le téléchargement d’un fichier apk qui contient le malware.
Ce n’est pas tant cette technique de propagation somme toute classique qui retient l’attention, mais les multiples capacités de Mazar… qui ne peut toutefois s’installer qu’à deux conditions : que l’option « sources tierces » soit activée dans les paramètres (ce n’est pas le cas par défaut) et que l’utilisateur valide, de son plein gré, l’installation.
Si ces critères sont remplis, Mazar déverrouille complètement le téléphone (root), acquiert les droits de niveau administrateur et ouvre une porte dérobée. Dès lors, il peut aussi bien envoyer et recevoir des messages que mettre le terminal en veille, bloquer des appels, afficher des fenêtres d’alerte… et accessoirement effacer la mémoire.
Pour masquer ses communications, le malware s’appuie sur le réseau Tor, qu’il met en place via des sources légitimes. En cas de succès, un SMS est envoyé au numéro +9876543210 (situé en Iran si on se fie à l’indicateur) avec le message « Thank You ». Il contient une information supplémentaire : la géolocalisation de l’appareil.
Les créateurs de Mazar y ont aussi implémenté le proxy HTTP Polipo, normalement destiné à mettre des pages Web en cache pour accélérer la navigation, mais utilisé, dans le cas présent, pour intercepter et modifier du trafic, sur le principe d’une attaque « Man-in-the-Middle ».
Mazar peut aussi s’injecter dans Chrome via le moteur Webkit. Il vérifie par ailleurs la langue du système (commande locale.getCountry()) et ne s’installe pas sur les terminaux en russe (equalsIgnoreCase (« RU »))).
Crédit photo : kirill_makarov – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…