Des milliers d'applications Android malveillantes issues d'un seul opérateur ont été découvertes
Certaines figuraient sur Google Play

Le , par Stéphane le calme, Chroniqueur Actualités
Les chercheurs en sécurité de Lookout ont identifié des milliers d’applications de type spyware qui sont liées à un seul acteur malveillant et qui appartiennent à la famille SonicSpy. Ces logiciels malveillants ont été « agressivement déployés » depuis le mois de février de cette année et plusieurs d’entre eux ont réussi à se faufiler entre les mailles du filet de sécurité de Google pour se retrouver sur sa vitrine de téléchargement Google Play.

L'échantillon de SonicSpy que les chercheurs ont récemment trouvé sur Play Store, appelé Soniac, est présenté comme étant une application de messagerie. Alors que Soniac fournit cette fonctionnalité via une version personnalisée de l'application de messagerie Telegram, elle contient également des capacités malveillantes qui fournissent à un attaquant un contrôle important sur un périphérique cible.

Cela inclut la possibilité de procéder à des enregistrements vocaux, de prendre des photos, de lancer des appels téléphoniques, d'envoyer des SMS aux numéros spécifiés par l’attaquant, de récupérer des informations telles que les journaux d'appels, les contacts et les informations sur les points d'accès Wi-Fi.

Au total, la famille SonicSpy prend en charge 73 différentes instructions à distance, y compris celles vues dans l'instance Soniac. Cette dernière, qui a été téléchargée entre 1000 et 5000 fois sur Play Store, a été supprimée par Google après que l’entreprise a reçu l’alerte de Lookout.

Lookout explique que le compte derrière Soniac a également publié deux autres applications sur Play Store qui sont désormais supprimées. « Nous ne savons pas si elles ont été supprimées en conséquence directe de Google qui aurait pris des mesures ou si l'entité derrière SonicSpy les a supprimées afin d'échapper à la détection le plus longtemps possible. Les pages Cached Play Store de ces applications, Hulk Messenger et Troy Chat, confirment qu'elles étaient fonctionnelles et notre analyse a révélé qu'elles embarquent la même fonctionnalité que les autres échantillons SonicSpy », a indiqué Lookout.

Les milliers d’applications restantes sont diffusées via de multiples canaux. Selon Lookout, parmi ces canaux peuvent figurer des marchés alternatifs ou des messages qui comportent le lien de téléchargement.

« Ce qui est couramment observé dans tous les échantillons SonicSpy, c'est qu'une fois qu'ils ont compromis un périphérique, ils le signalent au serveur C&C et attendent les instructions de l'opérateur qui peuvent s’accompagner de l'une des soixante-treize commandes prises en charge », a déclaré Lookout. « La façon dont cela a été mis en œuvre est distincte dans l'ensemble de la famille SonicSpy. »

Une fois installées, les applications SonicSpy suppriment leur icône de lancement pour cacher leur présence, puis établissent une connexion au serveur de contrôle situé sur le port 2222 de arshad93.ddns [.] Net.

Le chercheur a déclaré que SonicSpy avait des similitudes avec une autre famille d'applications malveillantes appelée SpyNote, dont l'entreprise de sécurité Palo Alto Networks a parlé l'année dernière. Le nom du compte développeur (irakwebservice) et plusieurs autres similitudes qui ont été trouvées dans le code des applications suggèrent que le développeur est situé en Irak. En outre, une grande partie de l'infrastructure de domaine associée à SonicSpy a des références à ce pays. L'expression « Bouclier irakien » apparaît constamment. Lookout continue de suivre les pistes suggérant que le développeur est basé dans cette partie du monde.

Le rapport de Lookout est le dernier rappel sur les risques liés à l'installation d'applications issues des marchés tiers, mais ils permettent également de préciser qu’il faut faire tout de même attention aux applications téléchargées sur Google Play puisque Google ne saurait garantir la sécurité des applications à 100 %.

Source : Lookout


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :
Offres d'emploi IT
Ingénieur développement des logiciels de supervision d'un Drone H/F
Safran - Ile de France - Éragny (95610)
Chef de Projet SSI H/F
Safran - Ile de France - Massy (91300)
Responsable Assurance Qualité des Systèmes de Navigation H/F
Safran - Ile de France - Éragny (95610)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil