Les pirates ont développé une nouvelle tactique sournoise pour introduire des logiciels malveillants sur votre téléphone et espionner vos conversations. Des chercheurs de la société de cybersécurité ESET ont découvert de fausses applications dans les magasins d’applications de Google et de Samsung, qui se faisaient passer pour des extensions ou des versions premium des plates-formes de messagerie populaires Signal et Telegram, conçues pour voler les données des utilisateurs.
Les applications malveillantes, appelées Signal Plus Messenger et FlyGram, pourraient extraire des informations sensibles de comptes Signal et Telegram légitimes, notamment des journaux d’appels, des messages SMS, des emplacements et bien plus encore, lorsque les utilisateurs effectuaient certaines actions.
Voici comment cela fonctionne : Signal et Telegram permettent aux utilisateurs de relier l’application mobile à leurs autres appareils, comme leur ordinateur de bureau ou l’une des meilleures tablettes. Ces applications malveillantes exploitent cette fonctionnalité pour connecter automatiquement un appareil compromis au signal de l’attaquant, lui permettant ainsi d’espionner ses communications sans que l’utilisateur n’en soit au courant.
Google et Samsung ont supprimé les deux applications de leurs magasins d’applications respectifs, mais pas avant d’avoir accumulé des milliers de téléchargements. Signal Plus Messenger a été mis en ligne sur le Play Store en juillet 2022 et a été téléchargé environ 100 fois avant que Google ne le supprime en avril en réponse à une astuce d’ESET, selon un rapport de The Hacker News. Une application appelée FlyGram a reçu 5 000 téléchargements après son lancement sur le Play Store en juin 2020 avant sa suppression l’année suivante.
Comment protéger votre téléphone Android
Le fait que la découverte de cette capacité furtive de « liaison automatique » soit passée largement inaperçue jusqu’à présent est particulièrement préoccupant. Si Signal Plus Messenger et FlyGram sont téléchargés sur votre téléphone Android, vous devez les désinstaller immédiatement. Pour assurer la sécurité de votre téléphone, il est important de télécharger uniquement les versions légitimes de Signal et Telegram, ainsi que de vérifier périodiquement Paramètres > Appareils liés pour vous assurer qu’aucun appareil non reconnu n’apparaît.
Cette campagne constitue une tentative sans précédent d’espionner certaines des applications de messagerie les plus populaires au monde. Les deux applications malveillantes ont été construites sur du code open source disponible auprès de Signal et Telegram. Dans ce code, des pirates ont discrètement intégré l’outil d’espionnage identifié sous le nom de BadBazaar, un cheval de Troie utilisé lors d’attaques précédentes ciblant les Ouïghours et d’autres minorités ethniques turques. ESET a déclaré au média qu’il soupçonnait le groupe de piratage informatique aligné sur la Chine, connu sous le nom de GREF, d’être à l’origine de cette campagne.
« L’objectif principal de BadBazaar est d’exfiltrer les informations sur l’appareil, la liste de contacts, les journaux d’appels et la liste des applications installées, et de procéder à l’espionnage des messages Signal en reliant secrètement l’application Signal Plus Messenger de la victime à l’appareil de l’attaquant », a déclaré le chercheur en sécurité Lukáš Štefanko. a déclaré dans une interview avec The Hacker News.
Dans une déclaration à Forbes cette semaine, la présidente de Signal, Meredith Whittaker, a déclaré que la société était « profondément préoccupée par tous ceux qui faisaient confiance à cette application et la téléchargeaient ». Elle a félicité Google pour avoir supprimé « ce malware pernicieux se faisant passer pour Signal de sa plateforme » et a exhorté Samsung à emboîter le pas, ce qu’il a fait depuis.