Deux experts en sécurité ont montré comment les malwares permettant de prendre le contrôle des smartphones à distance sont devenus une sérieuse menace pour les utilisateurs à travers le monde. Au cours d'une démonstration réalisée sur la RSA Conference 2012, George Kurtz et Dmitri Alperovitch, anciens responsables de McAfee ayant fondé la société CrowdStrike, ont installé un outil d'accès distant sur un terminal sous Android 2.2. Ils ont exploité une faille non corrigée dans WebKit, le navigateur par défaut de l'OS mobile, rapportent nos confrères de Computerworld.

Les deux intervenants ont montré devant une salle bondée comment le malware pouvait être amené sur le smartphone par l'intermédiaire d'un message SMS d'apparence inoffensive. Et comment il pouvait ensuite être utilisé pour intercepter et enregistrer les conversations téléphoniques, récupérer des vidéos, voler les messages texte, pister les numéros de composés et localiser l'endroit où se trouve l'utilisateur.

Des malwares obtenus facilement sur le marché

Les outils employés pour l'attaque ont été obtenus facilement auprès de sources clandestines, a indiqué George Kurtz, Le bug WebKit, par exemple, figurait parmi une vingtaine d'autres outils achetés à des hackers pour une somme globale de 1 400 dollars. Le cheval de Troie mis en oeuvre pour l'accès distant était une version modifiée de Nickispy, un malware chinois bien connu.

Apprendre à exploiter la faille WebKit et modifier le Trojan pour l'attaque fut plus difficile à réaliser que prévu, a admis Georges Kurtz. Il estime que CrowdStrike a dépensé environ 14 000 dollars au total pour développer l'attaque. Mais, le plus inquiétant est que des attaques similaires peuvent être réalisées sur n'importe quel téléphone et pas uniquement les modèles sous Android, a ajouté l'expert.

WebKit, par exemple, est largement utilisé comme navigateur par défaut par les autres systèmes d'exploitation mobile, notamment iOS d'Apple et BlackBerry Tablet OS de RIM. Il est également à l'oeuvre dans les navigateurs Safari d'Apple et Chrome de Google.

A l'aube d'une nouvelle vague de phishing

Compte tenu du type de données qu'il est possible de dérober sur les terminaux mobiles, on peut penser que de nombreux hackers cherchent déjà des moyens de transformer les vulnérabilités de WebKit en moyens d'attaque, soulignent les experts de CrowdStrike.

Plusieurs Trojans de contrôle à distance mobiles sont déjà ouvertement disponibles auprès d'entreprises qui les présentent comme des outils permettant de garder un oeil sur les autres. Par exemple, de nombreux programmes de ce type sont commercialisés auprès de conjoints jaloux ou suspicieux. Et il n'est pas difficile de duper des utilisateurs mobiles en installant des malwares sur leurs téléphones, expliquent les experts.

Dans leur démonstration, Georges Kurtz et Dmitri Alperovitch ont utilisé un message SMS qui semblait venir de l'opérateur demandant à son utilisateur d'installer une mise à jour importante. Cliquer sur le lien du message conduisait à télécharger le Trojan sur le téléphone. Exactement comme cela se passe déjà sur les PC, ces programmes malveillants vont proliférer sur les mobiles, prédit Georges Kurtz. Par conséquent, les utilisateurs doivent commencer à vérifier qu'ils ont bien installé les mises à jour sur leurs smartphones, faire attention à ce qu'ils téléchargent et être conscients que le phishing existe aussi sur les mobiles. Les Trojans permettant une prise de contrôle à distance sont de parfaits outils pour intercepter les appels, les textes, les e-mails, capturer les conversations sensibles et localiser les personnes.