Après qu’un programmeur russe a été détenu par le Service fédéral de sécurité russe (FSB) pendant quinze jours et que son téléphone a été confisqué, il a été découvert qu’un nouveau logiciel espion avait été secrètement installé sur son appareil à son retour.
Le programmeur, Kirill Parubets, a été arrêté par le FSB après avoir été accusé d’avoir fait un don à l’Ukraine. Après avoir retrouvé l’accès à son appareil mobile, le programmeur a soupçonné qu’il avait été falsifié par le gouvernement russe après avoir présenté un comportement inhabituel et affiché une notification indiquant « Synchronisation Arm cortex vx3. »
Après l’avoir partagé avec Citizen Lab pour une analyse médico-légale, les enquêteurs ont confirmé que des logiciels espions avaient été installés sur l’appareil qui se faisait passer pour une application Android légitime et populaire « Cube Call Recorder », qui compte plus de 10 000 000 de téléchargements sur Google Play.
Contrairement à l’application légitime, cependant, le logiciel espion a accès à un large éventail d’autorisations, ce qui lui donne un accès illimité à l’appareil et permet aux attaquants de surveiller les activités sur le téléphone.
Citizen Lab rapporte que le logiciel malveillant semble être une nouvelle version de Monokle, découverte pour la première fois par Lookout en 2019, qui est développée par le Special Technology Center, Ltd basé à St Peterburg.
Il est également possible que le nouveau logiciel malveillant découvert dans l’appareil de Parubets soit un nouvel outil qui utilise des parties du code Monokle comme base.
« Les nombreuses similitudes significatives dans les opérations, les fonctionnalités et les motivations géopolitiques nous amènent à évaluer qu’il s’agit soit d’une version mise à jour du logiciel espion Monokle, soit d’un nouveau logiciel créé en réutilisant une grande partie du même code », explique Citizen Lab.
Le nouveau logiciel espion
Le logiciel espion implanté par FSB dans le téléphone du programmeur utilise un processus crypté en deux étapes qui reflète l’architecture du Monokle d’origine, mais inclut des avancées en matière de cryptage et des modifications de ses autorisations.
Ses capacités incluent:
- Suivre l’emplacement en cas d’inactivité
- Accéder au contenu SMS, à la liste de contacts et aux entrées du calendrier
- Enregistrez les appels téléphoniques, l’activité de l’écran et la vidéo (via l’appareil photo)
- Extraire des messages, des fichiers et des mots de passe
- Exécuter des commandes shell et déchiffrer des données
- Effectuer un enregistrement de frappe pour capturer des données sensibles et des mots de passe
- Accéder aux messages des applications de messagerie
- Exécuter des commandes shell et installer des packages (APK)
- Extraire les mots de passe stockés sur l’appareil et également le mot de passe de déverrouillage de l’appareil
- Exfiltrer les fichiers de l’appareil
Citizen Labs note que la deuxième étape contient la plupart des fonctionnalités du logiciel espion et inclut également des fichiers cryptés avec des noms apparemment aléatoires pour compliquer la détection.
Les analystes rapportent également avoir trouvé des références à iOS dans le code du logiciel espion, ce qui indique la possibilité d’une variante qui fonctionne sur les appareils iPhone d’Apple.
Les modifications d’autorisation notables depuis la version 2019 (dernière documentée) sont l’ajout de ‘ACCESS_BACKGROUND_LOCATION’ et ‘INSTALL_PACKAGES’ et la suppression de ‘USE_FINGERPRINT’ et ‘ SET_WALLPAPER.’
Les personnes dont l’appareil a été confisqué par les forces de l’ordre puis restitué doivent passer à un autre appareil ou le remettre à des experts pour analyse.
Ceux qui vivent dans des pays oppressifs devraient envisager d’utiliser des appareils « brûleurs » lorsqu’ils sont à l’extérieur et risquent d’être arrêtés arbitrairement, utiliser des mécanismes anti-logiciels espions comme le mode de verrouillage d’Apple et maintenir le système d’exploitation et les applications à jour.