ESET vient de lever le voile sur deux spywares Android qui se font passer pour Signal et ToTok pour aspirer des données sensibles. Actifs surtout aux Émirats arabes unis, ils commencent déjà à circuler ailleurs dans le monde.
Des malwares déguisés en outils de messagerie instantanée sécurisée circulent actuellement sur Android. Découverts par ESET, ils ciblent tout particulièrement les personnes soucieuses de confidentialité en se faisant passer pour des compléments ou des versions améliorées d’applications réputées privées, à savoir Signal et ToTok. Sauf qu’évidemment il n’en est rien. Une fois installées, ces applications espionnent l’appareil, siphonnent un large éventail de données personnelles et déploient des techniques de camouflage très élaborées pour se fondre dans l’interface du système.
Un plugin Signal factice pour siphonner vos données
Dans le détail, les chercheurs d’ESET ont identifié deux nouvelles familles de logiciels espions Android, baptisées Android/Spy.ProSpy et Android/Spy.ToSpy.
La première s’attaque directement aux utilisateurs et utilisatrices de Signal en se présentant comme un « Signal Encryption Plugin », censé renforcer le chiffrement de l’application. Ce module n’existe évidemment pas dans l’écosystème officiel de Signal, et les pirates le diffusent via des sites frauduleux qui reprennent l’identité visuelle et parfois le nom de domaine de la messagerie pour paraître crédibles.
Une fois installé, le faux plugin exige un large accès aux données du téléphone. Il peut ainsi envoyer vers des serveurs contrôlés par les attaquants des informations détaillées sur l’appareil, les messages SMS, les contacts, la liste des applications présentes, ainsi que différents types de fichiers (documents, photos, vidéos ou archives).
Pour se rendre quasiment invisible, ProSpy s’appuie sur un module d’Android appelé activity-alias. Cette fonction permet à une application de modifier son nom et son icône sans mise à jour. Le malware s’en sert pour se rebaptiser « Play Services » après installation, ce qui le fait passer pour un composant système anodin. Lorsqu’un utilisateur tente d’ouvrir cette nouvelle icône, il est aussitôt redirigé vers l’application Signal déjà présente sur l’appareil ou, si elle n’est pas installée, vers le site officiel signal.org.
ProSpy existe aussi sous une déclinaison visant ToTok, messagerie instantanée développée aux Émirats arabes unis et retirée des stores officiels en 2019 après des soupçons d’espionnage d’État. Les attaquants la présentent comme une version améliorée baptisée ToTok Pro et s’appuient là encore sur des sites imitant des boutiques ou des pages officielles pour pousser les victimes à télécharger un fichier APK. En parallèle, ESET a identifié une seconde famille distincte, ToSpy, qui usurpe l’application ToTok elle-même. Cette version suit une logique proche, mais cible surtout un public qui continue à chercher des moyens de récupérer ToTok depuis son retrait des stores officiels. Elle collecte les mêmes catégories de données et s’intéresse en particulier aux fichiers .ttkmbackup, utilisés pour sauvegarder les conversations.
Comment éviter de tomber dans le piège
Plusieurs des domaines malveillants utilisés par ces campagnes pointent explicitement vers les Émirats arabes unis, signe d’un ciblage d’abord régional, mais l’analyse d’ESET tend à montrer que la menace pourrait traverser les frontières. Des échantillons ont déjà été soumis à VirusTotal depuis les Pays-Bas et les États-Unis, preuve que ces APK circulent hors des EAU et pourraient tout aussi bien finir par se retrouver sur des smartphones français.
Pour limiter le risque d’infection, mieux vaut donc s’en tenir aux circuits de distribution officiels (Google Play Store ou boutiques officielles préinstallées par le fabricant), et désactiver l’option « sources inconnues » d’Android, sauf besoin très spécifique et maîtrisé.
Comme toujours, si vous boycottez Google et passez par des stores alternatifs, vérifiez l’identité de l’éditeur avant d’installer une APK, activez Google Play Protect qui bloque déjà les variantes connues de ces spywares, envisagez d’installer un antivirus mobile, et méfiez-vous des pages web promettant de « booster » Signal ou d’offrir un chiffrement renforcé.
Source : ESET
