Les chercheurs en sécurité d’ESET ont découvert la présence d’un malware dans le code de fausses applications de messagerie. Le logiciel malveillant, baptisé XploitSPY, est conçu pour espionner les utilisateurs d’un smartphone Android. Il s’agit d’un logiciel embarquant un outil RAT (Remote Administration Tool, soit un outil d’administration à distance en français). En clair, il permet à un cybercriminel de piocher dans un système d’exploitation à distance à l’insu de l’usager. Cette campagne s’appuie sur une version personnalisée, totalement neuve, du malware. Elle embarque notamment « une fonctionnalité de chat » unique.
À lire aussi : Le malware Vultur est de retour pour prendre le « contrôle total » de votre smartphone
Un redoutable malware espion rôde sur Android
Pour pénétrer sur le smartphone de ses victimes, le malware est camouflé dans des applications Android en apparence légitimes. Comme l’explique le rapport d’ESET, partagé avec 01net, ces applications factices sont distribuées sur des sites web malveillants ainsi que sur le Google Play Store. Le virus est donc parvenu à contourner les mécanismes de sécurité mis en place par Google, notamment grâce à de l’obscurcissement de code. Cette astuce, massivement utilisée par les criminels, consiste à rendre le code source difficile à comprendre et à analyser en y ajoutant des parties qui ne servent à rien ou qui sont redondantes, des caractères inutiles ou en réarrangeant les lignes.
Une fois infiltré sur le téléphone des usagers, XploitSPY va extraire des listes de contacts, récupérer des données de géolocalisation, et accéder aux noms de fichiers dans des répertoires spécifiques liés à des applications comme Telegram et WhatsApp, ainsi qu’aux dossiers de l’appareil photo et aux téléchargements. Si les pirates jugent certains fichiers comme intéressants, ils seront également exfiltrés sur un serveur à distance. Comme l’ajoute Broadcom sur son site, XploitSPY est aussi en mesure de dérober tous vos messages, d’enregistrer de l’audio avec le microphone ou de prendre des photos à votre insu. Il s’agit d’un malware espion très complet.
La cyberattaque, évoquée sous le nom d’eXotic Visit par les chercheurs, a débuté en novembre 2021. Elle a été en partie contrecarrée grâce à l’enquête réalisée par ESET. La firme slovaque a alerté Google de la présence d’applications frauduleuses sur sa boutique fin 2023. Le géant de Mountain View n’a pas tardé à supprimer toutes les applications contenant XploitSPY. ESET indique que l’opération visait « principalement un groupe restreint d’utilisateurs Android au Pakistan et en Inde ».
Ce n’est pas la première fois que le virus open source est utilisé par des cybercriminels. Selon ESET, XploitSPY a déjà été massivement exploité par de nombreux groupes de pirates. Des gangs comme Transparent Tribe, aussi connu sous les noms de ProjectM et Mythic Leopard, disposent en effet de versions personnalisées du malware.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
