Un nouveau morceau de malware Android a été découvert. surnommé KevDroid, le logiciel malveillant est distribué sous la forme d'une application anti-virus faux appelé Naver Defender. KevDroid est en fait un outil d'administration à distance qui vole des données sensibles à partir d'appareils infectés. Cependant, le logiciel malveillant est également capable d'appels téléphoniques d'enregistrement.
KevDroid Android Malware Détails techniques
KevDroid a d'abord été découvert par des chercheurs ESET, et plus tard il a été analysé par Cisco Talos.
Talos a identifié deux variantes de l'outil d'administration à distance Android (RAT). Les deux échantillons ont les mêmes capacités - à savoir voler des informations sur l'appareil compromis (telles que les contacts, Historique du SMS et le téléphone) et enregistrer les appels téléphoniques de la victime.
Une variante du logiciel malveillant a été détecté pour tirer parti d'une Android exploit connu – CVE-2015-3636 – afin d'obtenir un accès root sur l'appareil Android compromis, les chercheurs dans leur analyse détaillée. En outre, les données recueillies par les deux variantes ont été envoyées via HTTP POST à un serveur de commande et de contrôle unique,. En ce qui concerne la possibilité d'enregistrer les appels - il a été mis en œuvre sur la base d'un projet open-source disponible sur GitHub.
Les chercheurs ne sont pas sûrs encore qui se cache derrière la campagne des logiciels malveillants. Cependant, selon la couverture des médias sud-coréens, le malware KevDroid peut être lié à un groupe parrainé par l'Etat nord-coréen connu sous le nom du groupe 123 qui se cache derrière des campagnes d'espionnage cyber.
La liste actuelle des capacités malveillants qui KevDroid a inclut l'enregistrement des appels téléphoniques et des données audio, le vol historique Web et les fichiers, l'obtention d'un accès root, voler les journaux d'appels, SMS, e-mails, collecte chaque emplacement des périphériques 10 secondes, et la récolte de la liste de toutes les applications installées.
Qu'est-ce Аre les conséquences d'une infection KevDroid?
Si les attaquants ont réussi à obtenir certaines données le logiciel malveillant est capable de récolter, il pourrait en résulter un certain nombre de problèmes pour l'utilisateur infecté, des chercheurs dit.
Les téléphones mobiles sont utilisés dans presque toutes les activités, ils contiennent des tonnes de données sensibles et personnelles identifiables, tels que les photographies, les mots de passe, information bancaire. Une infection par KevDroid pourrait entraîner la fuite de données, qui pourrait inexorablement conduire à un certain nombre de résultats.
Selon le statut de la victime (tels que l'utilisateur d'entreprise), le résultat de cette infection pourrait même conduire à l'enlèvement d'un être cher, chantage en utilisant des images ou des informations secrètes, la récolte des titres de compétences, jeton d'accès multi-facteurs (SMS MFA), implications bancaires / financières et l'accès à des informations privilégiées par e-mails / textes, les chercheurs ont mis en garde. De nombreux utilisateurs d'accéder à leur messagerie d'entreprise via des appareils mobiles.