Exodus : des spywares gouvernementaux traînent sur le Google Play Store

by chebbi abir

L’organisation Security Without Border explique avoir découvert des logiciels malveillants gouvernementaux déguisés en application distribuée sur le Store de Google. Baptisé « Exodus », le malware était utilisé par la police italienne.

Il y a le bon malware et le mauvais malware : le mauvais, c’est celui utilisé par les cybercriminels pour vous dépouiller de vos précieux bitcoins. Le bon, c’est celui utilisé par les autorités et les services de renseignement pour surveiller les criminels et terroristes en tout genre. Mais la différence entre le « bon » malware et le « mauvais malware » est tenue et les dégâts collatéraux sont parfois à craindre.

C’est notamment le risque qu’invoque l’ONG Security Without Border qui a publié vendredi un rapport portant sur un logiciel d’espionnage baptisé Exodus dont les différentes versions se sont retrouvées sur le magasin d’application Android Google Play Store. « Plusieurs instances de ce malware ont été retrouvées sur le Google Play Store, présentées comme des applications provenant d’opérateurs mobiles. Les applications étaient rédigées en italien et présentes sur le Google Play Store italien. Selon des statistiques publiques confirmées par Google, la plupart de ces applications avaient été téléchargées une douzaine de fois, l’une d’entre elles 350 fois » explique Security Without Border dans son rapport.

Sécurité sans frontière vs backdoor sans authentification

Le malware en question, baptisé Exodus, se décomposait en deux étapes. Une première partie du malware, Exodus One, était intégrée au sein d’une application proposée sur le Google Play Store. Exodus One agissait comme un « dropper », un malware dont le rôle est de collecter et de transmettre des informations génériques sur l’appareil en question aux opérateurs du malware, puis de télécharger une seconde partie du malware, la charge utile.

Cette seconde partie, Exodus Two, est téléchargée par l’application et contient l’essentiel du code malveillant utilisé par le malware. Celui ci dispose ainsi de modules pouvant être utilisés pour extraire et exfiltrer des données de l’utilisateur, telles que les contacts du carnet d’adresses, les SMS, la liste des applications installées, le bruit ambiant capté par le micro ou encore les chats échangés sur différentes applications. Une des fonctionnalités tente également de prendre le contrôle sur l’appareil en utilisant une variante de la faille de sécurité DirtyCow. Il s’agit donc d’un malware en bonne et due forme, bardé de fonctionnalités d’espionnage et d’exfiltration de données.

Mais selon Security Without Border, il ne s’agit pas ici d’un groupe cybercriminels ayant réussi à tromper les mesures de sécurité du Google Play Store, mais bien d’un malware utilisé par les autorités italiennes dans le cadre de leurs enquêtes. L’analyse menée par Seucrity Without Border montre que ce malware aurait été développé par une société italienne du nom de Esurv. Celle-ci, spécialisée dans la vidéosurveillance, a remporté un marché public pour la conception d’un logiciel espion comme l’explique Security Without Border. Ce logiciel, qui correspondrait à Exodus, le logiciel identifié par l’ONG.

Si l’utilisation de ce type de mouchards par les autorités n’est pas une nouveauté, il est plus étonnant de les retrouver distribués en libre accès sur le Play Store de Google. L’utilisation de ce type de malware est habituellement faite dans le cadre d’opérations d’écoutes ciblées, mais ici n’importe qui pouvait par erreur télécharger les applications vérolées librement distribuées. Plus inquiétant, l’analyse en détail du malware a révélé plusieurs erreurs de conception de la part des auteurs : selon des tests réalisés par Security Without Border, le malware en question ouvrait un port au travers duquel les opérateurs pouvaient entrer des commandes sur l’appareil. Seulement aucune authentification ni chiffrement n’était mis en place, ce qui signifie que quiconque connaissant l’existence de la faille de sécurité pouvait en profiter. Google a depuis retiré les applications concernées de son play store.

Pour en savoir plus:

https://www.zdnet.fr/actualites/exodus-des-spywares-gouvernementaux-tra-nent-sur-le-google-play-store-39882879.htm

Top

Interdit de copier  ce contenu