Lors du Sommet d’Analyse de la Sécurité Informatique 2016, l’équipe de Recherche Global et d’Analyse (GreAT selon l’acronyme en anglais, un jeu de mot car cela veut dire grand en anglais) a publié une recherche très poussée sur le RAT d’Adwind. RAT signifie Outil d’Accès à Distance, pour ses sigles en anglais.
Adwind est aussi connu sous d’autres noms comme AlienSpy, Frutas, Unrecom, Sockrat, JSocket et jRat. Il a été développé durant plusieurs années, et est disponible sous la forme d’une plateforme.
Ceci veut dire que n’importe qui peut payer un montant assez modique (de 25 à 300 dollars américains) pour utiliser le programme à leur avantage.
Les chercheurs ont découvert cette plateforme durant une tentative d’attaque de banque à Singapour. Ce malware est arrivé dans la banque via un email envoyé à un employé avec un fichier java malveillant attaché. Ceci est un bon exemple de comment ce malware peut être distribué.
Plusieurs caractéristiques de ce malware ont piqué la curiosité des chercheurs. Tout d’abord, il peut infecté une variété de plateformes, de Window à Linux en passant par Android.
Même si Java n’est pas une plateforme courante pour les logiciels malveillants, elle est toujours considérée comme la deuxième plateforme la plus vulnérable après le plugin d’Adobe Flash.
En conséquence, Java a constamment besoin d’être révisé. Il est vrai que comme Java opère sur toutes les plateformes, cela en fait une proie de choix pour les développeurs de malware. C’est pourquoi Oracle est actuellement en train de s’efforcer d’améliorer la sécurité de Java.
Le deuxième point évoqué par les chercheurs est qu’aucun anti-virus ne reconnaît Adwind.
La troisième caractéristique importante d’Adwind est la liste très complète de ses fonctionnalités. Ce logiciel peut en effet agir sur le clavier, voler des mots de passe cachés, des certificats VPN et des vidéos et des photos, enregistrer à partir du micro et de la webcam, gérer les sms depuis le système Android, et la liste ne s’arrête pas là !
Même l’histoire d’Adwind est intéressante ! Son développement a pris plusieurs années : les premiers essais remontent à 2012.
Le programme a changé de nom au fil du temps : en 2012 il était connu comme Frutas, Adwind en 2013, Unrecom et Alienspy en 2014 et JSocket en 2015.
Les experts pensent qu’il n’y a qu’un cerveau derrière le développement continu de ce malware ces quatre dernières années.
La plateforme Java est propice à ce malware, mais n’est quand même pas faite pour ça ! Le hacker a du changer sa stratégie de maintes fois pour en contourner la sécurité.
Tous ses efforts pour mettre en place et maintenir à flots ce logiciel malveillant lui rapporte environ 200’000 dollars américains par an.
La dernière version du portail qu’il a créé date de 2015, ce qui fait qu’il est peut-être encore en train d’attendre d’en collecter des revenus.
Au début, Adwind était uniquement disponible en espagnol, mais c’est quand il a été disponible en anglais que son utilisation a vraiment explosée.
Tous les cyber-mercenaires et hommes d’affaire malhonnêtes s’y sont intéressés. Il peut également être utilisé par tout un chacun qui veut espionner son voisin.
La géographie des victimes a aussi changé : en 2013 les principaux foyers de victimes étaient les pays arabes et hispanophones.
Les prochaines victimes furent l’Inde et la Turquie, tout comme les États-Unis et le Vietnam. En 2015, la Russie venait en tête, avec la Turquie, les États-Unis et l’Allemagne.
En quatre ans, on compte plus de 443’000 victimes, avec un pic d’infections fin 2015. De Août 2015 à Janvier 2016, plus de 68’000 utilisateurs ont été en contact avec ce malware.
En Août 2015, AlienSpy est même apparu dans une histoire de cyber-espionnage : il a été utilisé pour espionner un procureur argentin, retrouvé mort dans d’étranges circonstances en Janvier 2015.
Tous les secteurs sont touchés : tant les finances, l’industrie comme le gouvernement et les télécoms.
C’est pourquoi nous conseillons de désactiver l’utilisation de Java pour des sources inconnues.