Si vous disposez d’une de ces applications sur votre téléphone Android, supprimez-la immédiatement

Le groupe NSO a sonné l'alarme cette semaine et, une fois de plus, c'est le logiciel malveillant Pegasus, d'une puissance dévastatrice, qui a été déployé en Jordanie pour espionner les journalistes et les militants. Bien qu'il s'agisse d'une affaire très médiatisée qui a conduit Apple à intenter une action en justice contre NSO Group, il existe tout un monde d'applications Android apparemment inoffensives qui collectent des données sensibles sur le téléphone d'une personne moyenne.

Les experts en sécurité d' ESET ont repéré au moins 12 applications Android, dont la plupart sont déguisées en applications de chat, qui installent en réalité un cheval de Troie sur le téléphone, puis volent des informations telles que les journaux d'appels et les messages, prennent le contrôle à distance de la caméra, et même extraire les détails des discussions à partir de plateformes cryptées de bout en bout telles que WhatsApp.

Les applications en question sont YohooTalk, TikTalk, Privee Talk, MeetMe, Nidus, GlowChat, Let's Chat, Quick Chat, Rafaqat, Chit Chat, Hello Chat et Wave Chat. Inutile de dire que si l’une de ces applications est installée sur vos appareils, supprimez-la immédiatement.

Notamment, six de ces applications étaient disponibles sur le Google Play Store, ce qui augmente les risques car les utilisateurs affluent ici, faisant confiance aux protocoles de sécurité mis en place par Google. Un cheval de Troie d'accès à distance (RAT) nommé Vajra Spy est au centre des activités d'espionnage de ces applications.

Une application de chat qui fait de gros dégâts

"Il vole des contacts, des fichiers, des journaux d'appels et des messages SMS, mais certaines de ses implémentations peuvent même extraire des messages WhatsApp et Signal, enregistrer des appels téléphoniques et prendre des photos avec l'appareil photo", indique le rapport de recherche d'ESET.

Notamment, ce ne sera pas la première fois que Vajra Spy sonne l’alarme. En 2022, Broadcom l'a également répertorié comme une variante du cheval de Troie d'accès à distance (RAT) qui exploite Google Cloud Storage pour collecter les données volées aux utilisateurs d'Android. Ce malware a été lié au groupe de menace APT-Q-43, connu pour cibler spécifiquement les membres de l'establishment militaire pakistanais.

L'objectif apparent de VajraSpy est de récolter des informations sur l'appareil infecté et de capturer les données de l'utilisateur, telles que les messages texte, les conversations WhatsApp et Signal, ainsi que l'historique des appels, entre autres. Ces applications, dont la plupart se faisaient passer pour des applications de chat, utilisaient des attaques d'ingénierie sociale basées sur la romance pour attirer leurs cibles.

C’est un thème récurrent, surtout compte tenu de la cible des applications. En 2023, Scroll a rapporté comment des espions de l'autre côté de la frontière utilisaient des pièges à miel pour attirer les scientifiques et le personnel militaire indiens afin d'extraire des informations sensibles en utilisant un mélange d'efforts de romance et de chantage. Même le FBI a émis une alerte concernant les escroqueries liées aux romances numériques, tandis qu'un employé de la Maison Blanche a perdu plus d'un demi-million de dollars dans l'un de ces pièges.

Dans le cas le plus récent de déploiement de VajraSpy, les applications ont pu extraire les coordonnées, les messages, une liste des applications installées, les journaux d'appels et les fichiers locaux dans différents formats tels que .pdf, .doc, .jpeg, .mp3 et plus. Ceux dotés de fonctionnalités avancées devaient utiliser un numéro de téléphone, mais ce faisant, ils pouvaient également intercepter des messages sur des plateformes sécurisées telles que WhatsApp et Signal.

En plus d'enregistrer l'échange de texte en temps réel, ces applications pourraient intercepter les notifications, enregistrer les appels téléphoniques, enregistrer les frappes au clavier, prendre des photos avec l'appareil photo à l'insu de la victime et prendre le micro pour enregistrer de l'audio. Encore une fois, cette dernière n’est pas surprenante.

Nous avons récemment signalé comment des acteurs mal intentionnés abusent des notifications push sur les téléphones et vendent les données à des agences gouvernementales, tandis que des experts en sécurité ont déclaré à Digital Trends que le seul moyen infaillible d'arrêter cela est de désactiver l'accès aux notifications pour les applications.