Messageries espions sur Google Play

Des chercheurs ont trouvé plusieurs versions de Telegram et de Signal infectées par des logiciels espions sur Google Play.

Pour les messageries populaires, comme Telegram, Signal et WhatsApp, il existe un certain nombre de clients alternatifs (à ne pas confondre avec clients comme dans le cas des clients humains – la personne qui a choisi cette terminologie ambiguë mérite un bon savon). Ces applications modifiées, appelées mods, offrent souvent aux utilisateurs des fonctionnalités qui ne sont pas disponibles dans les clients officiels.

Alors que WhatsApp n’approuve pas les mods et les bannit régulièrement des boutiques d’applications officielles, Telegram n’a jamais fait la guerre aux clients alternatifs et encourage même activement leur création, si bien que les mods Telegram poussent comme des champignons. Mais sont-ils sûrs ?

Hélas, plusieurs études récentes révèlent que les mods de messagerie sont à utiliser avec beaucoup de précaution. Bien que la plupart des utilisateurs fassent encore aveuglément confiance à toute application vérifiée et publiée sur Google Play, nous en avons souligné à maintes reprises les dangers : lors du téléchargement d’une application sur Google Play, vous pouvez également tomber sur un cheval de Troie (celui-ci compte plus de 100 millions de téléchargements !), une porte dérobée, une application d’abonnement malveillante et/ou un tas d’autres dangers.

Dernière nouvelle : Telegram en chinois et ouïghour infecté sur Google Play

Commençons par une histoire récente. Nos experts ont découvert plusieurs applications infectées sur Google Play sous l’apparence de versions de Telegram en ouïghour, en chinois simplifié et en chinois traditionnel. Les descriptions des applications sont rédigées dans les langues respectives et contiennent des images semblables à celles de la page officielle de Telegram sur Google Play.

Pour convaincre les utilisateurs de télécharger ces versions au lieu de l’application officielle, le développeur affirme qu’elles fonctionnent plus rapidement que les autres clients grâce à un réseau distribué de centres de données dans le monde entier.

Versions de Telegram contenant un logiciel espion sur Google Play

Versions de Telegram en chinois simplifié, chinois traditionnel et ouïghour sur Google Play contenant un logiciel espion.

À première vue, ces applications semblent être des clones à part entière de Telegram avec une interface localisée. Tout a l’air de fonctionner normalement.

Nous avons jeté un coup d’œil dans le code et constaté que ces applications étaient légèrement différentes de ce qui était présenté. Une petite différence a échappé aux modérateurs de Google Play : les versions infectées contiennent un module supplémentaire. Celui-ci surveille en permanence ce qui se passe dans la messagerie et envoie un grand nombre de données au serveur de commande et de contrôle des créateurs du logiciel espion : tous les contacts, les messages envoyés et reçus avec les fichiers joints, les noms des conversations/canaux, le nom et le numéro de téléphone du propriétaire du compte – en fait, toute la correspondance de l’utilisateur. Même si un utilisateur change de nom ou de numéro de téléphone, ces informations sont également transmises aux pirates informatiques.

Précédemment : des versions de Telegram et de Signal contenant des logiciels espions constatées sur Google Play

Il est intéressant de noter qu’il y a peu de temps, des chercheurs d’ESET ont découvert une autre version de Telegram contenant un logiciel espion, FlyGram. Il est vrai que celle-ci ne cherchait même pas à faire semblant d’être officielle. Au lieu de cela, elle se positionnait comme un client Telegram alternatif (c’est-à-dire juste une version modifiée), et avait trouvé sa place non seulement sur Google Play, mais aussi dans le Samsung Galaxy Store.

Ce qui est encore plus curieux, c’est que ses créateurs ne se sont pas contentés d’imiter Telegram. Ils ont également publié une version infectée de Signal dans ces mêmes boutiques, sous le nom de Signal Plus Messenger. Et pour plus de crédibilité, ils sont allés jusqu’à créer les sites Internet flygram[.]org et signalplus[.]org pour leurs fausses applications.

Signal Plus Messenger : une version de Signal contenant un logiciel espion sur Google Play et dans le Samsung Galaxy Store

Il existe également un client Signal contenant un logiciel espion sur Google Play, appelé Signal Plus Messenger. (Source)

À l’intérieur, ces applications renferment les véritables messageries Telegram/Signal, dont le code source ouvert a été assaisonné d’additifs malveillants.

FlyGram était ainsi en mesure de voler les contacts, l’historique des appels, une liste de comptes Google et d’autres informations contenues dans le smartphone de la victime, ainsi que d’effectuer des « copies de sauvegarde » de la correspondance à stocker… sur le serveur des pirates informatiques bien entendu (bien que cette « option » dût être activée indépendamment par l’utilisateur dans la version modifiée de la messagerie).

Dans le cas de Signal Plus, l’approche était quelque peu différente. Le programme malveillant récupérait directement un certain nombre d’informations sur le smartphone de la victime et permettait aux attaquants de se connecter au compte Signal de celle-ci à partir de leurs propres appareils sans se faire remarquer, après quoi ils pouvaient lire toute la correspondance presque en temps réel.

FlyGram est apparu sur Google Play en juillet 2020 et y est resté jusqu’en janvier 2021, tandis que Signal Plus a été publié dans les boutiques d’applications en juillet 2022 et n’a été retiré de Google Play qu’en mai 2023. D’après BleepingComputer, les deux applications étaient encore disponibles fin août 2023 dans le Samsung Galaxy Store. Même si ces applications ont complètement disparu de ces boutiques, combien d’utilisateurs peu méfiants continuent d’utiliser ces mods de messagerie « rapides et faciles » qui exposent tous leurs messages à des regards indiscrets ?

Des versions infectées de WhatsApp et de Telegram usurpent les adresses des portefeuilles de cryptomonnaies

Il y a quelques mois à peine, les mêmes chercheurs en sécurité ont découvert une série de versions de WhatsApp et Telegram contenant des chevaux de Troie visant principalement à voler des cryptomonnaies. Ces versions consistent à usurper les adresses des portefeuilles de cryptomonnaies dans les messages afin d’intercepter les transferts entrants.

] Une version infectée de WhatsApp usurpe les adresses des portefeuilles de cryptomonnaies dans les messages

Une version infectée de WhatsApp (à gauche) usurpe l’adresse d’un portefeuille de cryptomonnaies dans un message adressé au destinataire, qui dispose de la version officielle et non infectée de WhatsApp (à droite). (Source)

En outre, certaines des versions constatées utilisent la reconnaissance d’images pour fouiller les captures d’écran stockées dans la mémoire du smartphone à la recherche de phrases secrètes, c’est-à-dire une série de mots de code qui peuvent être utilisés pour contrôler entièrement un portefeuille de cryptomonnaies, puis le vider.

Sans compter que certaines des fausses applications Telegram volent des informations sur le profil des utilisateurs stockées dans le cloud de Telegram : fichiers de configuration, numéros de téléphone, contacts, messages, fichiers envoyés/reçus, etc. Pour résumer, ces versions volent toutes les données des utilisateurs, à l’exception des conversations secrètes créées sur d’autres appareils. Toutes ces applications ont été distribuées non pas sur Google Play, mais par le biais d’une variété de faux sites et de chaînes YouTube.

Comment se protéger ?

Enfin, voici quelques conseils pour vous protéger des versions infectées des messageries les plus populaires, ainsi que d’autres menaces ciblant les utilisateurs d’Android :

  • Comme nous l’avons vu, même Google Play n’est pas à l’abri des programmes malveillants. Cela dit, les boutiques officielles sont bien plus sûres que les autres sources. Utilisez-les donc toujours pour télécharger et installer des applications.
  • Comme il ressort clairement de cet article, les clients alternatifs pour les messageries les plus populaires doivent être traités avec la plus grande prudence. Les logiciels open source permettent à n’importe qui de créer des mods et de les remplir de toutes sortes de mauvaises surprises.
  • Avant d’installer même l’application la plus authentique dans la boutique la plus officielle, examinez attentivement sa page et assurez-vous qu’elle est bien réelle. Prêtez attention non seulement au nom, mais aussi au développeur. Les cybercriminels tentent souvent de tromper les utilisateurs en fabriquant des clones d’applications avec des descriptions semblables à l’original.
  • Il est judicieux de lire les avis négatifs des utilisateurs. S’il y a un problème avec une application, il est fort probable que quelqu’un l’ait déjà repéré et écrit un commentaire à ce sujet.
  • Assurez-vous également d’installer une protection fiable sur tous vos appareils Android, qui vous avertira si un programme malveillant tente de se faufiler.
  • Si vous utilisez la version gratuite de Kaspersky: Antivirus & VPN, n’oubliez pas d’analyser manuellement votre appareil après l’installation et avant le premier lancement d’une application pour la première fois.
  • L’analyse des menaces est effectuée automatiquement dans la version complète de notre solution de sécurité pour Android, qui est incluse dans les formules d’abonnements Kaspersky Standard, Kaspersky Plus et Kaspersky Premium.
Conseils