Mobile

Google met en garde contre des logiciels malveillants sophistiqués distribués avec l’aide de FAI

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Google a repéré une nouvelle race dangereuse de logiciels malveillants faisant le tour en ligne, mais l’outil identifié par la société de sécurité Lookout comme « Hermit » n’est pas votre stratagème moyen pour gagner de l’argent. Selon le Threat Analysis Group (TAG) de Google, ce logiciel espion a été développé par une société italienne appelée RCS Labs. L’entreprise prétend être du bon côté de la loi, mais cela ne change rien au fait que son logiciel est utilisé pour violer la vie privée des utilisateurs.

RCS Labs est l’une des nombreuses entreprises «d’interception légale», qui travaillent avec les gouvernements et les forces de l’ordre pour collecter des données sur des cibles. Souvent, cela signifie développer de puissants outils de surveillance à l’aide de vulnérabilités de sécurité non documentées. Par exemple, NSO Group a utilisé son logiciel malveillant Pegasus pour espionner des militants et des journalistes. Essentiellement, ils créent et déploient des logiciels malveillants à la demande d’une autorité gouvernementale. Bien que cela puisse être légal dans les bonnes circonstances, les actions de ces entreprises ont fait l’objet d’un examen de plus en plus minutieux de la part de groupes tels que Chercher et TAG de Google.

Dans le cas de Hermit, il semble s’être propagé en Italie et au Kazakhstan. Dans certains cas, les acteurs malveillants ont pu infecter leurs cibles avec l’aide de fournisseurs d’accès Internet locaux. Le FAI couperait la connexion mobile d’un appareil, puis enverrait à la cible un message avec un lien pour rétablir sa connexion. Cependant, le lien chargeait en fait le logiciel espion Hermit sur l’appareil. Lorsqu’il n’y avait pas de FAI conforme, RCS Labs aurait déguisé le malware en une application de messagerie légitime comme WhatsApp et aurait utilisé l’ingénierie sociale pour que la cible l’installe.

L’une des fausses pages de téléchargement utilisées pour distribuer le logiciel malveillant.

Le malware n’a jamais été hébergé sur Google Play Store ou Apple App Store, mais cela n’a pas empêché les gens de l’installer. Sur les téléphones Android, le logiciel malveillant doit être chargé avec des sources inconnues activées. Sur iOS, les créateurs de logiciels malveillants ont utilisé un certificat valide pour le programme Apple Developer Enterprise, qui est utilisé pour distribuer des applications internes. Cela permettait aux utilisateurs d’installer l’application directement en dehors de l’App Store. Une fois installée, l’application a exploité une série d’exploits pour augmenter les privilèges et télécharger de nouveaux modules de fonction pour prendre en charge un appareil, copier des données et surveiller l’emplacement de l’utilisateur.

Apple a révoqué les certificats de développeur utilisés dans Hermit et Google a déployé une mise à jour de Play Protect pour supprimer le logiciel malveillant. RCS Labs est resté silencieux sur la question, ce qui est logique. Il a une histoire de relations louches avec des agences de renseignement militaires dans des pays comme le Myanmar, le Turkménistan, la Syrie et le Pakistan, et la communauté du renseignement est tout au sujet du « sans commentaire ».

Google affirme que la croissance des logiciels espions commerciaux devrait concerner tout le monde. La surveillance en ligne étant plus courante que jamais, vous pourriez vous retrouver impliqué dans une opération de malware sophistiquée à l’avenir.

Maintenant lis:

Bouton retour en haut de la page