Les chercheurs ESET ont découvert le premier logiciel espion basé sur l’outil d’espionnage open-source « AhMyth » à infiltrer le Google Play Store. Ce spyware se présente sous la forme d’une application de radio Internet spécialisée dans un genre musical très spécifique (la musique culturelle baloutche). Toutefois, les capacités d’espionnage qu’il met en œuvre peuvent être très facilement intégrées à tout type d’application.
Le code de AhMyth, dont l’application de radio Internet a emprunté la fonctionnalité malveillante, a été rendu public à la fin de 2017. Depuis, si plusieurs applications malveillantes s’en sont bien sûr déjà servies, l’application « Radio Balouch » est la toute première à arriver sur Google Play, la boutique officielle d’applications Android.
La solution ESET Mobile Security for Android protège contre AhMyth et ses dérivés depuis janvier 2017, avant même que ce malware ne devienne public. « La fonctionnalité malveillante d’AhMyth n’est ni cachée, ni protégée, ni obscurcie. Pour cette raison, il nous a été trivial d’identifier l’application Radio Balouch — et d’autres dérivés — comme étant malveillants et de les attribuer à la famille AhMyth », explique Lukáš Štefanko, le chercheur ESET qui a mené l’enquête.
Après qu’ESET ait signalé la découverte à Google, son équipe de sécurité a retiré l’application de Google Play. Les attaquants, cependant, ont été rapides à la faire réapparaître ! « Nous avons peu après détecté et signalé une deuxième instance de ce logiciel malveillant, qui a ensuite été lui aussi rapidement supprimé. Cependant, le fait que Google ait laissé le même développeur publier un malware flagrant à plusieurs reprises est inquiétant », estime Lukáš Štefanko.
Figure 1. L’application malveillante Radio Balouch est apparue deux fois sur Google Play
Outre Google Play, Radio Balouch, détecté par ESET comme Android/Spy.Agent.AOX, a été diffusé sur un site web dédié, et promue sur Instagram et YouTube. Après avoir été retiré de Google Play, l’application n’est désormais plus disponible que sur les boutiques d’applications alternatives.
Cette application est totalement fonctionnelle et permet réellement d’écouter la musique typique de la région baloutche. En arrière-plan, cependant, elle espionne ses utilisateurs : elle est en mesure de voler la liste des contacts et de récupérer des fichiers stockés sur l’appareil infecté. « L’outil d’espionnage open-source AhMyth possède un certain nombre de variantes, qui ont chacune des fonctionnalités différentes. L’application Radio Balouch — comme tout autre logiciel malveillant basé sur AhMyth — pourrait donc bénéficier à l’avenir d’autres capacités », prévient Štefanko.
Selon les chercheurs d’ESET, l’apparition répétée de l’application malveillante Radio Balouch sur la boutique Google Play devrait servir d’avertissement à l’équipe de sécurité de Google et aux utilisateurs Android. « Si Google n’améliore pas ses capacités de détection, un nouveau clone de Radio Balouch ou tout autre dérivé d’AhMyth pourrait bientôt apparaître lui aussi sur Google Play » met en garde Lukáš Štefanko. « Le conseil de sécurité clé qui consiste à s’en tenir aux sources officielles des applications est toujours valable, mais l’on comprend avec cet exemple que cela ne peut à lui seul garantir la sécurité. Nous recommandons donc vivement aux utilisateurs d’examiner attentivement chaque application qu’ils s’apprêtent à installer sur leur appareil, et d’utiliser en complément une solution de sécurité mobile réputée », conclut le chercheur.
Pour plus de détails, lisez l’article du blog « First-of-its-kind spyware sneaks into Google Play », sur WeLiveSecurity.com. Suivez ESETresearch sur Twitter pour être informés des dernières découvertes d’ESET Research.