Au cours de la dernière décennie, les applications de messagerie telles que WhatsApp et Telegram sont devenues une partie intégrante de la vie de presque tous les internautes. Des milliards de personnes utilisent ces applications pour discuter avec leurs proches, partager des photos et des vidéos amusantes avec leurs amis, communiquer avec leurs collègues, se tenir au courant de l’actualité, etc. Essayez d’imaginer la vie moderne sans ces applications de messagerie. Difficile, n’est-ce pas ? Malheureusement, ces applications indispensables contiennent parfois des menaces cachées.
Mods pour WhatsApp et Telegram : le pourquoi et le comment
Certaines personnes pensent que les applications officielles WhatsApp et Telegram manquent de fonctionnalités – qu’il s’agisse d’options supplémentaires pour personnaliser l’interface ou de fonctions spécifiques ; par exemple, la possibilité de masquer les discussions, de traduire automatiquement les messages ou de consulter les messages supprimés par les interlocuteurs. Et la liste des fonctionnalités « manquantes » est très longue.
Des développeurs tiers créent des modifications ou des mods des applications WhatsApp et Telegram standard pour satisfaire les besoins les plus particuliers des utilisateurs, et ces mods sont très nombreux.
Le problème avec leur installation est que l’utilisateur doit confier sa correspondance non seulement aux développeurs de la messagerie, mais aussi aux développeurs du mod, qui peuvent facilement y cacher des modules malveillants ; les distributeurs de mods peuvent également ajouter des éléments de leur choix.
Dans le cas de WhatsApp, la situation avec les mods est davantage compliquée par les propriétaires de l’entreprise. Ils n’approuvent pas les modifications et entravent leur diffusion. De temps en temps, les propriétaires de WhatsApp essaient d’interdire aux utilisateurs d’utiliser des mods, mais sans succès jusqu’à présent. Entre-temps, ils ont réussi à empêcher les clients alternatifs de WhatsApp de se retrouver sur les plateformes officielles telles que Google Play et App Store.
Par conséquent, les utilisateurs des mods pour WhatsApp sont habitués à les télécharger à peu près n’importe où. Les fichiers APK sont audacieusement téléchargés, les paramètres sont modifiés pour autoriser l’installation à partir de sources inconnues, puis les mods sont exécutés sur les téléphones. Les cybercriminels exploitent cette imprudence en intégrant des programmes malveillants dans les modules.
Nos experts ont récemment découvert plusieurs mods infectés, et nous allons les examiner dans cet article.
Mods pour WhatsApp infectés sur Telegram
Les mods pour WhatsApp qui ont retenu l’attention de nos experts n’avaient jusqu’à présent montré aucune activité malveillante. Toutefois, ils contiennent désormais un module espion qui est détecté comme Trojan-Spy.AndroidOS.CanesSpy par nos solutions de sécurité.
Après l’installation sur le smartphone de la victime, un mod WhatsApp infecté attend que le téléphone soit allumé ou mis en charge pour lancer le module d’espionnage. Il contacte l’un des serveurs C2 de la liste correspondante et charge diverses informations de l’appareil, telles que le numéro de téléphone, l’IMEI, le code du réseau mobile, etc. De plus, le cheval de Troie espion envoie au serveur des informations relatives aux contacts et aux comptes de la victime toutes les cinq minutes dans l’attente de commandes.
Si l’on fait abstraction des commandes de service, les capacités du module d’espionnage se réduisent essentiellement à deux fonctions :
- Parcourir les données de l’appareil et envoyer à ses opérateurs les fichiers contenus dans la mémoire du smartphone (pour être plus précis, dans sa partie non système, ou le « stockage externe » dans la terminologie Android)
- Enregistrer le son avec le microphone intégré et, comme auparavant, envoyer les enregistrements aux serveurs C2
En ce qui concerne la façon dont le logiciel espion a été diffusé, des modifications infectées de WhatsApp ont été trouvées sur plusieurs canaux Telegram arabes et azéris sous les noms de mods populaires suivants : GBWhatsApp, WhatsApp Plus et AZE PLUS – une version de WhatsApp Plus avec l’interface traduite en azéri.
De plus, nos experts ont découvert des fichiers APK infectés par le module espion sur des sites de téléchargement de mods pour WhatsApp.
En octobre, nos solutions de sécurité ont détecté et empêché plus de 340 000 attaques de ce logiciel espion dans plus de 100 pays. Notez qu’il s’agit des attaques interceptées par nos solutions. Le nombre total d’attaques (qui prend en compte les téléphones sur lesquels nos solutions ne sont pas installées) est probablement beaucoup plus élevé.
Bien que la menace soit géographiquement étendue, l’Azerbaïdjan est le pays qui a enregistré de loin le plus grand nombre de tentatives d’infection, suivi par plusieurs pays arabes : Arabie saoudite, Yémen et Égypte ; ainsi que la Turquie.
Comment vous protéger contre les logiciels espions de messagerie ?
Il ne s’agit pas du premier cas en 2023 de détection de modules malveillants dans des applications de messagerie modifiées. Il y a quelques mois, nous avions écrit un article à propos d’une chaîne de mods infectés pour Telegram, WhatsApp et même la messagerie sécurisée Signal. Il est donc nécessaire de rester vigilant :
- Utilisez uniquement les applications officielles WhatsApp et Telegram. Comme nous l’avons vu, les mods de messagerie sont susceptibles d’être infectés par des programmes malveillants.
- Installez les applications uniquement depuis les plateformes officielles : Apple App Store, Google Play, Huawei AppGallery, etc. Celles-ci ne sont pas à l’abri des programmes malveillants, mais restent beaucoup plus sûres que les sites tiers, qui ne prévoient souvent aucune mesure de sécurité.
- Avant d’installer une application, étudiez sa page sur la plateforme afin de s’assurer qu’il ne s’agit pas d’une fausse application. Les acteurs malveillants créent souvent des clones des applications populaires.
- Lisez les avis des utilisateurs sur l’application, en accordant une attention particulière aux avis négatifs. Vous y découvrirez probablement si l’application présente une activité suspecte.
- Assurez-vous d’installer une protection fiable sur tous vos appareils. Elle détectera le code malveillant à l’intérieur d’une application en apparence anodine et vous en avertira à temps.
- N’oubliez pas que dans la version gratuite de notre application Kaspersky for Android, vous devez lancer l’analyse manuellement.
- Si vous utilisez la version premium de notre protection pour Android qui est incluse dans les abonnements Kaspersky Standard, Kaspersky Plus, et Kaspersky Premium, vous pouvez vous détendre : l’analyse des menaces est réalisée automatiquement.