C'est une nouvelle souche de logiciel malveillant particulièrement sophistiquée qui a été découverte sur Android. Baptisé "Android.Backdoor.916.origin", ce spyware se fait passer pour un antivirus officiel des services de sécurité russes (le FSB) pour espionner les dirigeants d'entreprises en Russie.
Un faux antivirus qui imite le FSB
Découvert par les chercheurs de l'entreprise de cybersécurité Dr. Web, ce malware est distribué discrètement via des messages privés sur des messageries. Il se présente sous la forme d'une application de sécurité, avec des noms comme "SECURITY_FSB" ou "GuardCB", et utilise des logos qui imitent ceux des agences gouvernementales russes, comme le FSB (les services de renseignement) ou la Banque Centrale.
Pour tromper la victime, l'application propose même une fonction de "scan" qui simule une analyse de sécurité et affiche de faux résultats de manière aléatoire. Une fois l'utilisateur en confiance, elle demande une cascade d'autorisations très dangereuses.
Visuel : DoctorWeb
Un "Big Brother" dans la poche
Une fois installé, le malware est un véritable mouchard. En exploitant notamment les "Services d'Accessibilité" d'Android, il peut tout voir et tout faire sur le téléphone.
Il peut enregistrer tout ce qui est tapé au clavier, voler les contacts, les SMS et les photos. Plus inquiétant encore, il est capable de dérober le contenu des conversations sur des applications chiffrées comme Telegram ou WhatsApp, et même d'activer secrètement le micro et la caméra pour diffuser un flux audio et vidéo en direct aux pirates.
Une attaque très ciblée
Selon les chercheurs, il ne s'agit pas d'un malware visant le grand public. L'ensemble de ses caractéristiques (son mode de distribution, son apparence et le fait que son interface soit uniquement en russe) indique qu'il s'agit d'un outil d'espionnage conçu pour des attaques ciblées contre des personnalités du monde des affaires en Russie.
On en dit quoi ?
Cette affaire est un bon exemple de l'ingénierie sociale moderne. Les pirates n'exploitent pas seulement une faille technique, mais surtout la confiance de l'utilisateur envers ce qui ressemble à une application officielle. L'utilisation de l'image des services de sécurité russes est aussi très rassurante pour les personnes ciblées.
C'est aussi un rappel de la dangerosité des "Services d'Accessibilité" d'Android. Conçus à l'origine pour une noble cause (aider les personnes en situation de handicap), ils sont devenus la porte d'entrée favorite des logiciels espions, car ils leur donnent un accès quasi total à l'appareil. C'est un dilemme complexe pour Google, qui doit trouver un moyen de mieux protéger cette fonction sans la rendre inutile. Et vous, vous installez des applications en dehors du Play Store officiel sur votre téléphone Android ?
