ESET analyse le
premier espiongiciel connu qui est construit sur l’outil d’espionnage
open-source AhMyth et qui est apparu sur Google Play – deux fois.
Lukas Stefanko
Les chercheurs
d’ESET ont découvert le premier espiongiciel (spyware) connu qui est construit
sur les fondations du malware open-source AhMyth et a contourné le processus de
validation des applications de Google.
L’application
malveillante, appelée Radio Balouch aka RB Music, est en fait une application
radio entièrement fonctionnelle pour les amateurs de musique balouchi, sauf
qu’elle est livrée avec une très mauvaise surprise pour les utilisateurs – une
fonctionnalité pour voler les données personnelles de ces derniers.
L’application s’est glissée deux fois dans l’app store officiel d’Android, mais
a été rapidement supprimée par Google à chaque fois après que nous avons alerté
l’entreprise à ce sujet.
AhMyth, l’outil
d’accès à distance open-source auquel l’application Radio Balouch a emprunté sa
fonctionnalité malveillante, a été rendu public fin
2017. Depuis, nous avons été témoins de diverses applications malveillantes
basées sur cette application, mais l’application Radio Balouch est la toute
première à apparaître sur la boutique officielle des applications Android.
La solution de
sécurité mobile d’ESET protège les utilisateurs d’AhMyth et de ses dérivés
depuis janvier 2017 – avant même qu’AhMyth ne devienne publique. Comme la
fonctionnalité malveillante d’AhMyth n’est pas cachée, protégée ou obscurcie,
il est trivial d’identifier l’application Radio Balouch – et d’autres dérivés –
comme étant malveillante, et de les classer comme appartenant à la famille
AhMyth.
Outre Google
Play, le logiciel malveillant, détecté par ESET sous le nom
Android/Spy.Agent.AOX, était aussi disponible sur d’autres boutiques
d’applications. De plus, un site Web dédié en assurait pour la diffusion, via
Instagram et YouTube. Nous avons signalé la nature malveillante de la campagne
aux fournisseurs de services respectifs, mais nous n’avons reçu aucune réponse.
Radio Balouch
est une application de streaming radio entièrement fonctionnelle pour la
musique spécifique à la région Balouchi (pour des
raisons de cohérence, nous suivons l’orthographe utilisée dans la campagne; les
transcriptions les plus courantes en anglais sont « Balochi » ou
« Baluchi »). Cependant, l’application espionne ses victimes en
arrière-plan.
Nous avons
découvert deux fois différentes versions de l’application malveillante Radio
Balouch sur Google Play. Dans chaque cas, l’application comptait plus de 100
installations. Nous avons signalé la première apparition de cette application
sur la boutique officielle Android à l’équipe de sécurité de Google le 2
juillet 2019; elle a été retirée dans les 24 heures.
L’application
malveillante Radio Balouch est réapparue sur Google Play le 13 juillet 2019.
Comme auparavant, ESET a immédiatement avisé Google, qui l’a rapidement
supprimée.
Article complet
sur https://www.welivesecurity.com/fr/2019/08/28/nouveau-genre-espiongiciel-google-play/