Un cheval de Troie nommé WolfRAT par les chercheurs de Cisco vient d'apparaître. Il déclenche toutes sortes de fonctionnalité d'espionnage, dont la capture d'écran lorsque les applications de messagerie sont ouvertes.

Une fois infiltré sur votre smartphone Android, le cheval de Troie WolfRAT peut déployer ses outils d’espionnage. Son objectif :  enregistrer vos conversations sur WhatsApp et Facebook Messenger.

Découvert mardi 19 mai par les chercheurs de Cisco Talos, ce nouveau malware a été construit sur les bases de DenDroid, un cheval de Troie populaire au début des années 2010, qui se vendait à petit prix (300 dollars). Victime de son succès, le code du logiciel malveillant a fini par fuiter publiquement en 2015 comme le rappelle ZDNet, ce qui a permis aux chercheurs en sécurité de développer des protections très efficaces contre lui.

Les hackers déguisent WolfRAT en fausse mis à jour de Google Play ou de Flash. // Source : Louise Audry pour Numerama.

Le malware ne vise pour l’instant que des utilisateurs thaïlandais, mais il pourrait être revendu à d’autres groupes, ce qui généraliserait son utilisation. 

Une fausse mise à jour pour leurrer les utilisateurs

Si WolfRAT fonctionne à distance, il doit cependant être installé par la victime. Pour piéger leurs cibles, les opérateurs du malware créent de fausses mises à jour de services répandus comme Flash ou Google Play.

Un clic plus tard, le cheval de Troie s’installe dans le système Android et lance ses attaques : capture de vidéos et d’image, interception de SMS, copie des historiques de navigations… Il interagit avec un serveur C2 (Commande et contrôle) contrôlé par les hackers, qui peuvent ainsi aspirer les fichiers du smartphone de la victime et en envoyer d’autres.

Le malware déclenche un outil d’enregistrement de l’écran lorsque l’utilisateur ouvre les apps de messagerie qu’il cible, comme WhatsApp. Puisque c’est l’écran qui est enregistré, le chiffrement de bout en bout de l’app n’est d’aucune protection.

Un malware trop grossier ?

Les chercheurs de Cisco Talos attribuent la création du WolfRAT à un vendeur de logiciels espions, Wolf Research. Problème : la structure aurait été démantelée en 2019 au profit d’une nouvelle, LokD. « Nous affirmons avec une grande confidence que cet acteur opère encore, développe toujours des malwares et les utilise encore. », insistent les experts. « Wolf Research prétend avoir terminé son activité, mais nous voyons clairement que leurs précédents travaux sont poursuivis sous une autre couverture. »

Le développement de WolfRAT a vraisemblablement été bâclé

Si elle s’avère toujours active, la structure a en tout cas perdu en sophistication. Les chercheurs ont relevé des erreurs grossières — qu’ils qualifient « d’amateurs » –dans le code de l’application. Certaines fonctionnalités ne sont pas utilisées, plusieurs parties du code sont redondantes, d’autres ne servent à rien, ou encore le malware s’appuie sur des copier-coller de logiciels en open source.  WolfRAT, bien que dangereux, n’a donc pas l’allure d’un malware de pointe.

Cisco Talos a une piste pour expliquer ce manque de sophistication : pressés par leurs clients, les développeurs de Wolf Research auraient bâclé le travail, et laissé de côté les grossièretés du code.

Crédit photo de la une : Louise Audry pour Numerama

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux