Une semaine passera-t-elle en 2022 sans que nous ne découvrions l’apparition d’un nouveau logiciel malveillant ? Tout ça est bien mal parti. Entre les malwares russes qui écoutent vos conversations ou volent vos données Facebook et Escobar qui vide votre compte bancaire, la prudence est dernièrement de mise. Aujourd’hui, nous apprenons que sévit un nouveau mal qui ciblerait la communauté musulmane.
« Donner ses données. Pas repris, c’est volé ! »
Google a en effet banni onze applications de son Play Store qui incorporaient un logiciel espion. Ce dernier se cachait bien au chaud dans des apps toutes simples que vous pourriez télécharger assez aisément sans vous poser de questions. La preuve, l’ensemble des programmes vérolés a été téléchargé plus de 60 millions de fois ! L’étendue des dégâts est donc potentiellement gigantesque pour les utilisateurs bernés malgré eux. Quand on regarde de près, on se rend compte que 4 applis sur 11 ont un point commun…
Voici la liste des applications qui contenaient le logiciel espion :
- Speed Camera Radar (>10 millions de téléchargements)
- Al-Moazin Lite (Prayer Times) (>10 millions)
- WiFi Mouse (remote control PC) (>10 millions)
- QR & Barcode Scanner (>5 millions)
- Qibla Compass – Ramadan 2022 (>5 millions)
- Simple weather & clock widget (>1 million)
- Handcent Next SMS-Text w/ MMS (>1 million)
- Smart Kit 360 (>1 million)
- Al Quran Mp3 – 50 Reciters & Translation Audio (>1 million)
- Full Quran MP3 – 50+ Languages & Translation Audio (>1 million)
- Audiosdroid Audio Studio DAW – Apps on Google Play (>1 million)
Il va sans dire que si vous avez un de ces programmes sur votre smartphone, vous devez rapidement la faire disparaître. Chacun contient en effet un code interne qui collecte les données de vos appareils. Ce dernier est capable de récolter des informations particulières et différentes suivant l’app dans laquelle il se trouve. Les pirates récupéraient par exemple le numéro de téléphone, l’adresse e-mail, les informations IMEI de votre appareil, les données GPS et le SSID du routeur de son utilisateur. Il était possible également de mettre la main sur tout ce que vous copiez-collez. À chaque manipulation de ce type, les informations étaient envoyées sur un serveur dédié.
Once again, researchers caught a data broker tied to US national security harvesting extensive personal information including precise location via weather apps, QR readers, speed-trap detectors and Muslim prayer apps installed on >60m Android smartphones:https://t.co/gELGGRHbrc
Annonce— Wolfie Christl (@WolfieChristl) April 6, 2022
Il est troublant de voir la concentration dans leurs intérêts que la religion musulmane occupe dans la liste des programmes (heures des prières, Coran à écouter, boussole qui donne la direction de la Mecque…). On pourrait presque y voir une tentative d’espionnage à grande échelle de la part d’un gouvernement qui pourrait mettre ça sur le dos de la sécurité nationale. Mais que viendrait faire un gouvernement ici ? Alors maintenant que vous le dites…
Des liens étranges et plus que troublants
Le code malveillant a été découvert par Serge Egelman et Joel Reardon, chercheurs et cofondateurs de l’organisation AppCensus. Cette dernière s’est spécialisée dans l’analyse de la confidentialité des applications et de la sécurité de leurs utilisateurs. Même si le malware est très sécurisé et difficile à tracer, Reardon a tout de même découvert que le kit de développement logiciel provenait d’une société ayant déjà travaillé pour le compartiment de la défense de l’état de Virginie aux États-Unis. Le montage pour le cacher est en plus extrêmement élaboré. Le malware viendrait de la société Measurement Systems, enregistrée au Panama (le paradis du cache-cache) par Vostrom Holdings, basée justement en Virginie. L’entreprise américaine possède de nombreux contrats avec le gouvernement fédéral via sa filiale Packet Forensics, elle-même spécialisée dans la cyber-intelligence et la défense des réseaux des agences fédérales.
Interrogés par le Wall Street Journal, les développeurs des applications pointées du doigt ont révélé que Measurement Systems les avait payés pour introduire le SDK dans leurs créations.
Reardon met en garde sur la dangerosité d’un tel logiciel :
Une base de données mappant l’e-mail et le numéro de téléphone réels d’une personne à son historique de localisation GPS précis est particulièrement effrayante car elle pourrait facilement être utilisée pour exécuter un programme permettant de fouiller l’historique de localisation d’une personne simplement en connaissant son numéro de téléphone ou son e-mail, ce qui pourrait être utilisé pour cibler des journalistes, des dissidents ou des rivaux politiques.
L’ingénieur confie en plus que sa compagnie a prévenu Google de la présence de ce code plus qu’intrusif en octobre 2021. La date du retrait des applications incriminées du Play Store ? Le 25 mars 2022. On a connu la firme de Mountain View plus rapide à la détente et on comprend mieux les plus de 60 millions d’appareils infectés.
Si quelqu’un a le numéro de Snowden…
