Google met en garde contre une nouvelle campagne sophistiquée de logiciels espions qui a vu des acteurs malveillants voler des données sensibles d’utilisateurs Android et iOS en Italie et au Kazakhstan. Jeudi, le groupe d’analyse des menaces (TAG) de la société a partagé ses conclusions sur RCS Labs, un fournisseur commercial de logiciels espions basé en Italie.
Le 16 juin, des chercheurs en sécurité ont lié l’entreprise à Hermit, un logiciel espion qui aurait été déployé pour la première fois en 2019 par les autorités italiennes dans le cadre d’une opération anti-corruption. Lookout décrit RCS Labs comme une entité de type NSO Group. L’entreprise se présente comme une entreprise «d’interception légale» et affirme qu’elle ne travaille qu’avec des agences gouvernementales. Cependant, les fournisseurs de logiciels espions commerciaux ont fait l’objet d’un examen minutieux ces dernières années, en grande partie grâce aux gouvernements qui utilisent le logiciel espion Pegasus pour .
Selon Google, Hermit peut infecter les appareils Android et iOS. Dans certains cas, les chercheurs de l’entreprise ont observé des acteurs malveillants travailler avec le fournisseur de services Internet de leur cible pour désactiver leur connexion de données. Ils enverraient ensuite à la cible un message SMS avec une invite à télécharger le logiciel lié pour restaurer leur connexion Internet. Si ce n’était pas une option, les mauvais acteurs ont tenté de déguiser le logiciel espion en une application de messagerie légitime comme WhatsApp ou Instagram.
Ce qui rend Hermit particulièrement dangereux, c’est qu’il peut acquérir des capacités supplémentaires en téléchargeant des modules à partir d’un serveur de commande et de contrôle. Certains des addons observés par Lookout permettaient au programme de voler des données des applications de calendrier et de carnet d’adresses de la cible, ainsi que de prendre des photos avec l’appareil photo de leur téléphone. Un module a même donné au logiciel espion la capacité de rooter un appareil Android.
Google pense qu’Hermit n’a jamais fait son chemin vers les magasins Play ou App. Cependant, la société a trouvé des preuves que de mauvais acteurs étaient capables de distribuer le logiciel espion sur iOS en s’inscrivant à Apple. Apple a dit qu’il a depuis bloqué tous les comptes ou certificats associés à la menace. Pendant ce temps, Google a informé les utilisateurs concernés et déployé une mise à jour de Google Play Protect.
La société termine son article en notant que la croissance de l’industrie des logiciels espions commerciaux devrait concerner tout le monde. « Ces fournisseurs permettent la prolifération d’outils de piratage dangereux et arment les gouvernements qui ne seraient pas en mesure de développer ces capacités en interne », a déclaré la société. « Bien que l’utilisation des technologies de surveillance puisse être légale en vertu des lois nationales ou internationales, on constate souvent qu’elles sont utilisées par les gouvernements à des fins contraires aux valeurs démocratiques : cibler les dissidents, les journalistes, les défenseurs des droits de l’homme et les politiciens des partis d’opposition. »
Tous les produits recommandés par Engadget sont sélectionnés par notre équipe éditoriale, indépendante de notre maison mère. Certaines de nos histoires incluent des liens d’affiliation. Si vous achetez quelque chose via l’un de ces liens, nous pouvons gagner une commission d’affiliation.