Pas besoin de sideloading pour les cybercriminels. Sur le Playstore officiel de Google, les malwares s’affichent en tête de gondole. Récemment, des chercheurs de l’ESET ont découvert la présence d’un redoutable logiciel espion, dissimulé dans de fausses applications de messagerie. Depuis le magasin d’application Android, ces apps étaient accessibles en libre accès, et présentées comme des alternatives aux traditionnelles interfaces SMS proposées par Google et les constructeurs.
À première vue, rien de suspect pour les internautes. L’Europe est en passe d’interdire la concurrence déloyale entre constructeurs et développeurs. Grâce à l’arrivée du DMA, il ne sera bientôt plus possible pour Samsung, Google ou Apple d’imposer leurs propres applications natives. De quoi justifier la naissance massive de nouvelles alternatives sur le marché.
Un malware passé à travers les mailles du filet
Dommage pour les victimes, certaines applications de messageries accessibles sur le Playstore sont en réalité des façades, destinées à tromper la vigilance des internautes. À l’intérieur de l’application, un logiciel malveillant baptisé XploitSPY, conçu pour espionner les smartphones Android à l’insu de leurs propriétaires. Grâce à un outil RAT (Remote Administration Tool) capable de contrôler un smartphone à distance, le logiciel, une fois téléchargé, permet aux cybercriminels de prendre le contrôle total de l’appareil infecté, depuis le contrôle des paramètres (pratique pour accorder des autorisations non désirées) jusqu’à l’appareil photo.
Dans un rapport, partagé avec nos confrères de 01net, l’ESET indique que le malware est parvenu à contourner les mécanismes de sécurité mis en place par Google, en utilisant l’obscurcissement de code, une technique utilisée par les criminels pour tromper les algorithmes de sécurité du géant américain, en ajoutant au code source des commandes doubles ou inutiles.
Quels dangers pour les internautes ?
Une fois installé sur le téléphone de sa victime, XploitSPY n’a plus qu’à se servir : listes de contacts, messages, géolocalisation, données de Telegram, WhatsApp ou TikTok, fichiers enregistrés… Le malware est en mesure d’accéder à toutes les données présentes sur l’appareil, puis de transférer celles qui l’intéressent sur un serveur lui appartenant. Le micro et l’appareil photo ne sont pas en reste, puisque le logiciel espion peut aussi enregistrer des contenus photo, vidéo et audio à l’insu de sa victime.
Le danger est d’autant plus important que le malware est accessible en open source. Depuis le lancement de l’attaque en novembre 2021, Google n’a pas tardé à supprimer toutes les applications contenant XploitSPY. Le logiciel espion visait principalement les utilisateurs d’Android en en Inde et au Pakistan, révèle l’ESET, mais aurait pu servir, sous peu, à des attaques de plus grande ampleur. Ce n’est en revanche pas la première fois que le virus open source est utilisé par des cybercriminels.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Et donc… quelles sont les applications concernées ???