Les logiciels Android sont partout ces jours-ci, trouvant même une utilisation sur les champs de bataille modernes. Et tout comme les applications sur votre smartphone, le téléchargement de fichiers .APK potentiellement compromis à partir de sources non officielles peut entraîner des conséquences imprévues.
Un nouveau rapport de la société américaine de technologie de cybersécurité CrowdStrike a découvert qu'un groupe de pirates connu sous le nom de Fancy Bear avait intégré un implant malveillant appelé X-Agent dans une application Android utilisée par l'armée ukrainienne. On pense que le groupe a des liens avec les autorités russes qui ont soutenu les forces rebelles en Ukraine, et avait déjà été lié aux fuites de courriels du DNC en un autre rapport publié par CrowdStrike.
Du blog CrowdStrike :
À la fin de l'été 2016, les analystes de CrowdStrike Intelligence ont commencé à enquêter sur un curieux package Android (APK) nommé 'Попр-Д30.apk' (MD5: 6f7523d3019fa190499f327211e01fcb) qui contenait un certain nombre d'artefacts en langue russe qui étaient militaires dans la nature. Les premières recherches ont identifié que le nom du fichier suggérait une relation avec l'obusier tracté D-30 de 122 mm, une arme d'artillerie fabriquée pour la première fois en Union soviétique dans les années 1960, mais toujours utilisée aujourd'hui. Une ingénierie inverse approfondie a révélé que l'APK contenait une variante Android de X-Agent, le protocole de commande et de contrôle était étroitement lié aux variantes Windows observées de X-Agent et utilisé un algorithme cryptographique appelé RC4 avec une base de 50 octets très similaire clé. Le nom de fichier « Попр-Д30.apk » était lié à une application légitime initialement développée en Ukraine par un officier de la 55e brigade d'artillerie nommé Yaroslav Sherstuk. Lors d'entretiens avec les médias, M. Sherstuk affirme que l'application, qui comptait quelque 9 000 utilisateurs, a réduit le temps de tir du D-30 de quelques minutes à quelques secondes. Aucune preuve de l'application n'a été observée sur la boutique d'applications Android, ce qui rend peu probable que l'application ait été distribuée via cette plate-forme.
Le rapport poursuit en indiquant que si le logiciel malveillant X-Agent a été déployé avec succès dans l'application, il aurait permis une reconnaissance précise des troupes rebelles sur l'emplacement de l'artillerie ukrainienne postes. CrowdStrike a découvert grâce à des rapports open source que "les forces d'artillerie ukrainiennes ont perdu plus de 50% de leurs armes au cours des 2 années de conflit et plus de 80% des obusiers D-30, le pourcentage de perte le plus élevé de toutes les autres pièces d'artillerie de l'arsenal ukrainien." Vous pouvez lire le rapport complet de CrowdStrike ici.
Ce cas est évidemment un exemple assez extrême des dommages que les applications piratées peuvent causer, mais laissez cela servir de rappel sévère pour nous tous à quel point il peut être facile de télécharger des applications Android malveillantes à partir du l'Internet.