Android : un virus siphonne les données personnelles d’utilisateurs depuis plusieurs années

Le malware Mandrake parvient à prendre le contrôle total du smartphone qu’il a infecté, à en siphonner toutes les données et à disparaitre sans laisser de trace.

Les chercheurs en cybersécurité de Bitdefender ont mis en lumière le comportement du malware Mandrake, un logiciel malveillant actif depuis plusieurs années qui cible les smartphones sous Android. Le malware se démarque de ses congénères par sa discrétion. Il peut ainsi poursuivre ses méfaits sur les téléphones qu’il a infectés pendant une longue période, sans éveiller le moindre soupçon de ses victimes.

Une fois installé, le malware est en mesure de prendre le contrôle total du smartphone afin d’en récolter toutes les données. Cela va du vol des identifiants bancaires et de comptes, des captures d’écran, collecte des SMS envoyés et reçus, ainsi que les contacts en passant par les données de géolocalisation. Il peut également enregistrer l’activité de l’écran en permanence sans se faire repérer.

Un malware en expansion
Il avait déjà été repéré en 2016, mais à l’époque, il se limitait aux cibles australiennes. Aujourd’hui, l’ambition de ses auteurs est plus grande puisque le malware a également été repéré en Europe, notamment en Belgique et en France, et Amérique. Difficile de savoir exactement l’ampleur de la campagne de Mandrake.

“Le but ultime de Mandrake est le contrôle total de l’appareil, ainsi que la compromission de compte. C’est l’un des logiciels malveillants Android les plus puissants que nous ayons vus jusqu’à présent“, a rapporté Bogdan Boteztu, directeur de la recherche de Bitdefender, à nos collègues de ZDNet.

En plus de sa discrétion, Mandrake se démarque des autres malwares par ses méthodes de déploiement. Il n’est pas question d’infection aléatoire et opportuniste. Les auteurs du logiciel malveillant semblent sélectionner soigneusement leurs cibles, puis trouvent un moyen d’infecter leur téléphone. Après quoi, les hackers contrôlent manuellement le virus pour collecter les données personnelles de leurs victimes. Une fois qu’ils ont récolté les informations qu’ils voulaient, les hackers effacent le malware de l’appareil, ne laissant aucune trace.

“Contrairement aux logiciels malveillants courants, Mandrake déploie des efforts considérables pour ne pas infecter les victimes. Il sélectionne une poignée d’appareils sur lesquels il est installé pour une exploitation ultérieure“, explique Bogdan Boteztu dans son rapport. Selon Bitdefender, en quatre ans, Mandrake a fait plusieurs centaines de milliers de victimes. À l’heure actuelle, on ne sait pas exactement le sort réservé aux données récoltées, ni pourquoi les opérateurs du malware ciblent certaines personnes.

Un procédé particulièrement sophistiqué
Les auteurs de Mandrake ont élaboré un plan particulièrement élaboré pour faire des victimes. Ils ne se sont pas contentés de développer de fausses applications, mais ont également multiplié les noms de développeur sur le Play Store pour ne pas éveiller les soupçons. Les applications étaient exemptées de publicité et avaient même droit à des mises à jour régulières – demandant des autorisations abusives. Elles avaient également des pages sur les réseaux sociaux, histoire de convaincre de leur bonne foi.

“Le logiciel malveillant fonctionne par étapes, la première étape étant une application inoffensive sans comportement malveillant, autre que la capacité de télécharger et d’installer une charge utile à la deuxième étape lorsque cela est expressément demandé. On peut affirmer sans risque que son opérateur ne déclenchera pas ce comportement malveillant lorsqu’il fonctionnera dans l’environnement d’analyse de Google“, a expliqué le directeur de la recherche chez Bitdefender.

À l’heure actuelle, la seule solution pour éviter de se faire avoir par ce genre de procédés particulièrement bien élaborés est de télécharger des applications d’origine connue et dont les développeurs sont sûrs et fiables. Télécharger des applications de nouvelles sources, même disponibles sur un store officiel, n’est malheureusement pas sans risques.