Monokle. Avec un tel nom, ce super malware détecté par les équipes de Lookout mérite d’être surnommé "The Moscow Eye 21st Century Version". Monokle est un logiciel de surveillance ultramoderne développé par une société russe basée à Saint-Pétersbourg, appelé "Special Technology Center" ou STC, une société qui travaille main dans la main avec la défense russe.
Spécialisé dans les équipements radio et l'électronique, STC développe également des logiciels tels que détectés par les équipes de la société de cybersécurité Lookout, qui ont publié un rapport de 37 pages.
Monokle ne doit pas être considéré comme un autre malware de masse: il s’agit en réalité d’une véritable arme de renseignement mise au point pour cibler des individus identifiés.
Détournement des outils d'accessibilité
Selon le rapport de Lookout, Monokle est unique en ce qu'il permet d'extraire des informations même sans accès au mode racine du périphérique. Selon Lookout, les équipes de STC ont développé Méthodes de piratage extrêmement efficaces des fonctions d'accessibilité du terminal pour extraire des informations d'applications tierces et utiliser des dictionnaires prédictifs (depuis le clavier Android, ndr) identifier les intérêts de la cible. Encore plus fort, Monokle va essayer de "Capturez ce qui se passe à l'écran lors du déverrouillage pour récupérer le code PIN, le schéma ou le mot de passe".
Vicieux, Monokle est également diablement efficace. La liste de ses fonctionnalités donne littéralement au tournis:
- Capable d'installer des certificats compromis
- Peut devenir invisible dans la liste des gestionnaires de processus
- Récupère les informations du calendrier
- Effacer les mots de passe en clair
- Réception de messages hors bande par le biais de mots-clés reçus par SMS via des terminaux de contrôle prédéfinis
- Réinitialisation du code PIN de l'utilisateur
- Récupération de dictionnaire
- Enregistrement de l'environnement en audio (qualité élevée, moyenne ou faible)
- Les appels sortants
- Enregistrement d'appel
- Effacer des fichiers
- Envoi de SMS vers un numéro prédéfini par l'attaquant
- Téléchargement de fichiers prédéfinis par l'attenchant
- Redémarrer le terminal
- Interagissez avec les applications bureautiques courantes pour récupérer des documents texte
- Acceptation des commandes émises par des "téléphones de contrôle" prédéfinis
- Récupérer des contacts
- Collecte des informations sur le terminal (marque, modèle, état de la batterie, écran allumé ou éteint, etc.)
- Collecter des emails
- Prendre des photos et des vidéos
- Dessiner la géolocalisation
- Prendre des screenshots
- Récupérer les informations des antennes relais les plus proches
- Lister les applications installées
- Récupérer des comptes et des mots de passe
- Recueillir des informations sur les réseaux Wi-Fi environnants
- Capture d'écran
- Fonction suicide (de l'application, ndr) et nettoyage des fichiers potentiellement incriminants
- Récupération de l'historique de navigation (et profilage de base du comportement de surf)
- Récupérer l'historique des appels
- Collecte d'informations sur le compte et de messages provenant de WhatsApp, Instagram, Skype, VK, etc.
- Exécuter des commandes shell en tant que root si le mode root est accessible
En bref: une fois installé sur le smartphone, Monokle peut presque tout faire.
L'art du camouflage
Monokle existe sur le terminal infecté en tant qu'application réelle. Les développeurs russes vérifient les applications qui continuent à se comporter comme l'original – Google Playstore, ES File Explorer, Evernote, etc., et même des applications d'activation de la lampe de poche! – afin de ne pas éveiller les soupçons.
Monokle ne semble pas être un programme "viral" qui se réplique pour envahir la galaxie Android et la détruire. C'est un outil, une arme de renseignement, et il semble fort probable que ce soient les agents de renseignement russes qui installent – ne nous demandez pas comment – le programme d'une manière ou d'une autre sur le terminal d'une cible.
Monokle n'a rien à voir avec un programme de collecte de données de grande envergure comme PRISM aux États-Unis, le programme de surveillance dénoncé par Edward Snowden. C'est un outil de suivi des cibles.
Les cibles: des islamistes de Syrie et du Caucase
Grâce à différentes informations, les experts de Lookout ont pu définir certaines des cibles de Monokle, des cibles parfaitement logiques pour ceux qui s'intéressent à l’histoire et à la géopolitique russes. Ce sont bien les islamistes en général, mais surtout les sympathisants du groupe djihadiste Ahrar al-Sham. Un groupe qui combat sous le parapluie du drapeau de Daesh les forces russes qui soutiennent les troupes du régime de Bachar Al-Assad.
Autres militants islamistes intéressés par Moscou, musulmans de race blanche et plus particulièrement ingouches. Ces voisins des Tchétchènes – dont la résistance a été réduite à néant par l'Armée rouge et la main de fer du président Kadyrov – s'opposent à Moscou sur divers sujets, notamment la coupure de leur république actuelle. En général, le Caucase a longtemps été une épine aux pieds des divers régimes qui ont connu la Russie (et l'URSS).
Il y a évidemment des zones grises sur Monokle, telles que la manière dont il est installé sur les terminaux, le nombre de terminaux infectés, etc. Mais autant que cela suggère des failles majeures dans Android, il semble peu probable que votre smartphone soit infecté. sont sérieusement dans la ligne de mire de Moscou … Ah, et ne faites pas trop fier des propriétaires de terminaux Apple, selon Lookout, une version iOS existerait ou du moins serait en cours de développement …
La source: Attention