Triout, le spyware pour Android, fait son grand retour sur une application aux 50 millions de téléchargements

En août 2018, les chercheurs de Bitdefender ont découvert un composant logiciel malveillant pour Android, dénommé Triout, qui intègre des fonctionnalités de surveillance massive.

Livré avec une application légitime extraite de la plateforme de téléchargement officielle Google Play, le spyware peut cacher son existence sur l’appareil, enregistrer les appels téléphoniques, enregistrer les messages texte entrants, enregistrer des vidéos, prendre des photos et même collecter des coordonnées GPS. Toutes ces informations sont envoyées à un serveur Command & Control géré par les hackers, sans déclencher d’alertes chez ses victimes.

La version précédente de ce spyware était intégrée à une application affichant du contenu destiné aux adultes, mais les chercheurs de Bitdefender ont trouvé une nouvelle application corrompue qui dissémine le malware.

Utiliser la vie privée comme appât

L’application “com.psiphon3″,très populaire dans la boutique d’applications officielle Android de Google, promet un moyen de contourner les sites Web censurés ou bloqués en utilisant une série de serveurs proxy. L’application compte plus de 50 millions d’installations et plus d’un million de critiques (la plupart du temps positives), ce qui signifie que des hackers auraient peut-être abusé de sa popularité pour la reconditionner en y incluant le spyware.

L’ironie est que, bien que l’application légitime d’origine soit présentée comme un outil de confidentialité permettant d’accéder à un Internet ouvert, elle fait exactement l’opposé dès lors qu’elle se retrouve intégrée au système de spyware Triout.

Même si elle n’est pas distribuée via la place de marché officielle Google Play, mais par le biais de tiers, l’application altérée comporte le même code malveillant que la version précédemment analysée. Elle est également livrée avec trois composants de logiciels publicitaires – Google Ads, Inmobi Ads, Mopub Ads – afin de générer des revenus pour les acteurs de la menace.

L’enquête

Nous avons tout d’abord repéré la nouvelle application falsifiée le 11 octobre 2018, alors qu’elle semble être active du 2 mai 2018 au 7 décembre 2018. Pendant ce temps, l’application malveillante a apparemment été scannée à partir de 7 périphériques différents, dont 5 de République de Corée et 2 d’Allemagne. Nous savons que le nombre de victimes basé sur notre télémétrie est relativement petit, mais il est difficile d’en estimer exactement le nombre à l’échelle mondiale.

Lors de l’analyse de l’échantillon (MD5: 7ed754a802f0b6a1740a99683173db73 Nom du package: com.psiphon3 signé avec un certificat de débogage: SHA:

61ed377e85d386a8dfee6b864bd85b0bfaa5af81) nous avons trouvé le même code malveillant que lors de l’itération précédente. Le nouveau package infecté intègre les mêmes fonctionnalités que la version précédente, mais porte le nom «psp.jsp.datamd».

Ce qui est intéressant dans le nouvel exemple Triout, c’est que le serveur C & C (Command & Control) que les hackers utilisent pour passer en fraude les données et contrôler les appareils infectés est maintenant différent. La nouvelle adresse IP de C & C («188.165.49.205») est toujours opérationnelle au moment de la rédaction de cet article et semble pointer vers un site Web français («magicdeal.fr») qui affiche des offres et des remises sur divers produits.

À l’heure actuelle, on ignore si le site Web est un leurre ou un site Web légitime que les hackers ont compromis d’utiliser comme serveur C & C.

L’application légitime et la version falsifiée ont le même aspect et la même fonctionnalité en termes d’interface utilisateur et de fonctionnalités, ce qui signifie que les attaquants se sont uniquement concentrés sur l’ajout du composant logiciel espion Triout sans éveiller les soupçons des victimes.

Cependant, la version altérée semble avoir utilisé la version v91 de l’application d’origine lors de la distribution du logiciel espion Triout. La version actuelle de l’application légitime – au moment de la rédaction de cet article – est la v241.

Conclusions

La prolifération des appareils Android a suscité un regain d’intérêt de la part des hackers qui développent des systèmes de malware et spyware. L’omniprésence de ces appareils dans notre vie quotidienne, le niveau d’information auquel ils peuvent accéder et le nombre de capteurs dont ils sont équipés (caméra, microphone, GPS, etc.) en font des espions parfaits s’ils sont armés de logiciels malveillants.

Bien que la structure du spyware pour Android Triout ne semble pas avoir subi de modifications en termes de code ou de fonctionnalités, le fait que de nouveaux échantillons apparaissent et que les hackers utilisent des applications extrêmement populaires pour intégrer leurs programmes malveillants peut annoncer de nombreux incidents de ce type dans un futur proche.

Il convient également de noter que le faible nombre de victimes et d’appareils infectés, associé au fait qu’il intègre de puissantes fonctionnalités de surveillance, pourrait indiquer que Triout est principalement utilisé dans le cadre de campagnes d’espionnage très ciblées visant quelques personnes.

Pour éviter ces menaces, il est préférable d’installer les applications uniquement à partir de marketplaces officielles, de toujours utiliser une solution de sécurité mobile capable de détecter les logiciels malveillants Android et de maintenir constamment votre système d’exploitation Android  à jour des derniers correctifs de sécurité.

(Note : Cet article est basé sur des informations techniques fournies par Cristofor Ochinca – Chercheur en sécurité, Bitdefender)