L’existence d’une infrastructure internationale servant à contrôler des implants malveillants du type RCS « Remote Control System » (Système de Contrôle à Distance) vient d’être révélée par Citizen Lab.
Dans le même temps, des trojans mobiles jusque-là inconnus, fonctionnant aussi bien sous Android que sous iOS. Ces modules font partie de l’outil de spyware « légal » RCS, alias Galileo, développé par la société italienne HackingTeam. La liste des victimes recensées comprend des militants, des avocats des droits de l’homme, ainsi que des journalistes et des responsables politiques.
Où se trouvent les infrastructures RCS ?
Différentes méthodes ont été employées pour localiser les serveurs de commandes et de contrôle (C&C) de Galileo à travers le monde. Les experts se sont appuyés sur des indicateurs spéciaux et des données de connexion obtenues par la rétro-ingénierie d’échantillons existants. Ils sont parvenus à cartographier la présence de plus de 320 serveurs C&C RCS dans au moins une quarantaine de pays. La majorité de ces serveurs se trouvent aux Etats-Unis, au Kazakhstan, en Equateur, au Royaume-Uni et au Canada.
« La présence de ces serveurs dans un pays ne signifie pas pour autant qu’ils sont utilisés par les autorités de ce pays. Cependant, il est pertinent pour les utilisateurs de RCS de déployer des serveurs C&C dans les zones qu’ils contrôlent, là où les risques de problèmes juridiques transfrontaliers ou de saisie du matériel sont moindres.» explique Sergey Golovanov, Principal Security Researcher chez Kaspersky Lab.
Comment agissent les implants malveillants RCS ?
L’existence de trojans mobiles iOS et Android développés par HackingTeam n’est pas un secret mais il n’a jamais été possible jusqu’à maintenant de les identifier, ni même de les rattacher à une attaque. Les experts Kaspersky Lab étudient le malware RCS depuis plusieurs années. Au début de l’année, ils ont pu identifier certains éléments de modules mobiles correspondant à d’autres profils de configuration de malwares RCS issus de leur échantillonnage. Lors des dernières recherches, de nouvelles variantes d’échantillons ont également été reçues via le réseau cloud KSN de Kaspersky Lab. En outre, les experts de la société ont travaillé en étroite collaboration avec Morgan Marquis-Boire de Citizen Lab, qui s’est livré à des recherches poussées sur le malware HackingTeam.
Vecteurs d’infection : Les créateurs du RCS Galileo ont produit un implant malveillant spécifique pour chaque cible. Une fois l’échantillon prêt, l’auteur de l’attaque l’envoie sur le mobile de sa victime. Parmi les vecteurs d’infection connus figurent notamment le « spearphishing » (harponnage) par ingénierie sociale – souvent associé à l’exploitation de failles, en particulier de type « zéro day » – ou des infections locales via les ports USB pendant la synchronisation d’appareils mobiles.
L’une des principales découvertes a consisté à comprendre précisément le mode d’infection d’un iPhone par un trojans mobile Galileo : le téléphone doit pour cela être débridé. Cependant, des iPhones non débridés peuvent eux aussi devenir vulnérables : un attaquant peut se servir d’un outil de « jailbreak » tel qu’Evasi0n via un ordinateur infecté précédemment, et débrider le téléphone à distance avant de le contaminer. Pour éviter tout risque d’infection, les experts de Kaspersky Lab recommandent, d’une part, de ne pas débrider l’iPhone et, d’autre part, d’y installer en permanence la dernière version en date du système iOS.
Espionnage personnalisé : Les modules mobiles RCS sont méticuleusement conçus pour opérer en toute discrétion, par exemple en surveillant étroitement l’autonomie de batterie du mobile. Pour ce faire, ils utilisent des capacités d’espionnage personnalisées ou des déclencheurs spéciaux. C’est ainsi qu’un enregistrement audio peut se déclencher uniquement lorsque la victime est connectée à un réseau Wi-Fi particulier (tel que celui d’un groupe médias) ou lorsqu’elle change de carte SIM ou encore pendant la charge de l’appareil.
En général, les trojans mobiles RCS sont capables de réaliser un grand nombre de tâches de surveillance, qu’il s’agisse de transmettre la géolocalisation de la victime, de prendre des photos, de recopier des événements de l’agenda, d’enregistrer toute nouvelle carte SIM insérée dans le téléphone infecté ou encore d’intercepter les appels téléphoniques et les messages (y compris ceux envoyés par des applications telles que Viber, WhatsApp et Skype, en plus des SMS classiques).