Un faux antivirus Android se fait passer pour un outil lié au FSB et cible des dirigeants d’entreprises russes. Une opération très ciblée pour l’instant, mais qui illustre une méthode de plus en plus répandue pour tromper organisations et particuliers, intercepter leurs échanges et voler leurs données.
- Un faux antivirus Android cible des dirigeants d'entreprises russes, se faisant passer pour un outil du FSB.
- Le malware, baptisé Android.Backdoor.916.origin, intercepte des messages et des données personnelles une fois installé.
- Cette méthode d'ingénierie sociale pourrait être adaptée à d'autres pays, incitant à la prudence lors des téléchargements d'applications.
La société de cybersécurité Dr. Web a identifié un nouveau malware Android baptisé Android.Backdoor.916.origin. Détecté pour la première fois en janvier 2025, il a déjà connu plusieurs itérations, preuve que ses développeurs continuent à le faire évoluer. Le stratagème repose sur une application qui se présente comme un antivirus légitime, diffusé par messagerie, mais qui cache en réalité un spyware capable d’intercepter messages, fichiers, appels et activités en ligne.
Un faux antivirus qui cible les entreprises russes… pour l’instant
D’après leur rapport, les chercheurs ont repéré deux principales stratégies d’usurpation. La première consiste à faire passer l’application pour un antivirus lié à la Banque centrale de Russie, sous le nom GuardCB. La seconde joue la carte de l’ingénierie sociale plus poussée et sur l’effet d’autorité avec deux variantes, SECURITY_FSB et ФСБ, supposément approuvées par les services de renseignement russes. Des leurres, évidemment, mais un choix de marques et de visuels institutionnels qui visent a priori des cibles bien définies, à savoir des cadres et dirigeants d’entreprises russes, plus susceptibles de faire confiance à un outil présenté comme émanant d’organismes officiels.
Une fois installée, l’application fonctionne comme un antivirus classique pour inspirer confiance. Elle dispose d’un bouton Scan, exécute de fausses analyses et affiche des menaces imaginaires pour convaincre la victime de conserver l’appli sur son téléphone. Sauf que derrière cette façade, l’appli se comporte en réalité comme un outil d’espionnage et demande des permissions étendues pour accéder aux SMS, appels, contacts, fichiers, localisation, micro, caméra, droits admin et services d’accessibilité pour assurer sa persistance sur le système compromis.
Une fois ces droits accordés, le malware se connecte à un serveur C2 pour recevoir ses instructions, et peut alors exfiltrer SMS, contacts, historique d’appels, images stockées sur la carte mémoire, mais aussi activer le micro, la caméra et le streaming d’écran. Dr. Web note également qu’il est capable d’intercepter le contenu des messageries et navigateurs, y compris Telegram, WhatsApp, Gmail, Chrome et les applications de Yandex.
Une méthode qui pourrait être répliquée ailleurs
Pour l’instant, tout indique que cette campagne cible exclusivement la Russie. L’interface de l’application, les noms utilisés et les profils des victimes tendent à démontrer un ciblage très précis. Ce qui n’a rien de spécifique au contexte russe, en revanche, c’est la méthode employée. Se faire passer pour une autorité nationale ou un organisme reconnu reste l’une des techniques d’ingénierie sociale les plus efficaces pour pousser à installer un logiciel malveillant.
Aussi, rien n’empêcherait des cybercriminels d’adapter ce scénario à d’autres pays, en France par exemple, avec de faux antivirus prétendument liés à l’ANSSI, à la CNIL, à une banque nationale ou à une grande entreprise. D'où l'importance de ne pas se fier uniquement au nom ou à l’apparence d’une application. De toute façon, les outils développés par des autorités ou de grandes institutions ne se retrouvent quasiment jamais à disposition du public sans communication officielle. Lorsqu’un tel outil existe réellement, il s’accompagne toujours d’annonces publiques, de communiqués et de sources fiables permettant de confirmer son authenticité.
Dans tous les cas, pour limiter les risques d’infection, mieux vaut privilégier le téléchargement d’applications depuis le Google Play Store et vérifier l’identité de l’éditeur. Il est aussi recommandé de prêter attention aux permissions demandées. Un antivirus peut légitimement avoir besoin d’accéder aux fichiers pour analyser leur contenu, mais hors fonctions anti-vol/anti-spam ou similaires, il n’a généralement pas besoin d’accéder à vos SMS, au micro, à la caméra ou à la géolocalisation.
Enfin, il est préférable d’activer Google Play Protect, de mettre à jour régulièrement Android pour appliquer les correctifs de sécurité et de s’appuyer sur des éditeurs antivirus reconnus pour protéger efficacement ses données.
Sources : Dr. Web [1], Dr. Web [2]
