Google a débusqué un nouveau logiciel malveillant visant Android qui, à ce que croit l’entreprise, pourrait être le produit de la prolifique surveillance israélienne. Alors que Google a précédemment découvert des smartphones Android infectés par des logiciels malveillants qu’il a déclaré provenir de NSO Group Technologies (une entreprise israélienne), il étudie maintenant un virus espion qu’il dit lié à une start-up appelée Equus Technologies.

Google a trouvé le logiciel malveillant, qu’il a nommé Lipizzan, installé dans moins de cent téléphones après l’infection de l’un d’eux par le logiciel malveillant Pegasus, associé à NSO Group Tech. “Lipizzan était un logiciel espion sophistiqué à deux niveaux,” a écrit l’équipe de sécurité Android dans un post.


Des vingt formes différentes sous lesquelles le logiciel espion s’est manifesté, Google en a trouvé une poignée sur son Play store. Lipizzan apparaissait comme un outil légitime, tel qu’une application de sauvegarde ou d’enregistrement de son. Il rootait le mobile, surveillait les emails de l’utilisateur et les volait, de même que les SMS, les appels vocaux et la localisation du téléphone. L’outil a également cherché à rassembler les données d’applications spécifiques, en affaiblissant leur cryptage, applications parmi lesquelles on compte WhatsApp, Viber et Telegram. LinkedIn, Gmail et Skype se trouvaient également sur la liste cible.

Les applications malveillantes ont été supprimées des appareils infectés.

Forbes a tenté de joindre les employés d’Equus via LinkedIn et par email, mais n’a pas reçu de réponse au moment de cette publication. Equus n’a ni site web ni information de contact accessible au public.

Google a fait savoir qu’il y avait des références à l’entreprise dans le code lui-même. Megan Ruthven, de l’équipe de sécurité Android de Google, a communiqué à Forbes, lors de la conférence Black Hat à Las Vegas, qu’un fichier configuré à l’intérieur de l’application mentionnait le nom Equus. Elle a ajouté qu’il s’agissait d’un indicateur, et non d’une attribution garantie.

Le chercheur Andrew Blaich, qui a réalisé une présentation sur le logiciel malveillant aux côtés de Ruthven, a déclaré que l’action serait probablement imputée à Equus. L’entreprise NSO Group Tech a également laissé des références à son virus Pegasus dans son code, a remarqué Andrew ; il a également noté que tout n’avait pas encore été découvert sur Equus. En dépit des indicateurs, ni Ruthven ni Blaich n’étaient en mesure de déclarer avec certitude qu’Equus était le véritable propriétaire du virus.

Qu’est-ce qu’Equus ?

Cette structure est enveloppée de mystère.

À ce jour, la véracité de la suggestion de Google selon laquelle Equus est une entreprise de cyber-armement demeure incertaine. Au regard des informations limitées disponibles en ligne, Equus semble être basée tout près de NSO Group Tech, dans la ville de Herzliya, à Tel Aviv. D’après LinkedIn, au moins un ingénieur serait passé de NSO à Equus cette année. De plus, la description de l’entreprise sur LinkedIn se lit comme sui t: “Equus Technologies est une entreprise privée spécialisée dans le développement personnalisé de cyber-solutions innovantes et actives pour les forces de l’ordre, les agences de renseignement et les organisations de sécurité nationale.”

Les cofondateurs sont présentés sur le site du réseau d’entreprise comme étant le chercheur de l’Armée de défense d’Israël, Matan Markovics, et le diplômé de l’Université de Tel Aviv, Daniel Hanga. Markovics a également servi auprès d’une autre entreprise d’armes israélienne notable, Rafael.

L’entreprise a donné des conférences à l’ISS World Training, événement précédemment désigné comme le bal des écoutes téléphoniques, où les entreprises de surveillance présentent leur arsenal. En 2015, l’entreprise s’est exprimée sur la question de “La gestion des défis grandissants de la cyber surveillance”, lors d’une rencontre ISS à Prague.

D’après d’anciens rapports, plus tôt cette année, celui qui était alors le directeur de recherche de l’entreprise, Amihai Neiderman, a trouvé un nombre surprenant de vulnérabilités (les faiblesses d’un système informatique) dans le système d’exploitation Tizen de Samsung. Elles pourraient avoir été exploitées sur les télévisions intelligentes comme sur les portables Samsung.

Sans se soucier de ce qu’est Equus et du type de lien qui unit la structure au logiciel Lipizzan, un chercheur spécialisé dans les logiciels de surveillance et travaillant à l’Université de Toronto, John Scott-Railton, a déclaré que Google faisait un bon travail dans l’ouverture d’une fenêtre sur le “secteur discret mais croissant du développement de logiciels malveillants privés.”

“Une entreprise commerciale de logiciel malveillant a tenté d’échapper au radar de Google et de transmettre son logiciel à travers sa plateforme. Avec ce post, Google a déclaré publiquement que cette tentative était un échec.” En faisant référence à des rapports récents d’une offre d’acquisition de 40% de l’entreprise NSO pour la somme de 400 millions de dollars, John a ajouté : “Ce cas met en lumière le risque que des entreprises créant des virus commerciaux puissent se positionner en tant qu’opportunités d’investissement alors qu’elles s’élèvent contre les engagements des entreprises majeures de protéger leurs utilisateurs.”

Ce chercheur a pisté l’expansion de l’entreprise NSO Group à travers le Mexique, où elle a récemment été repérée en train de viser des enquêteurs indépendants faisant des recherches sur la disparition de masse d’étudiants en 2014. Nso Group n’a pas nié sa vente au Mexique, mais a exprimé ses préoccupations concernant tout type d’utilisation illégale de son logiciel Pegasus.