Le Développeur « Iraqi » Déverse 1 000 Applications De Logiciel Espion Android Sur le PlayStore

Un développeur que l’on pense être originaire d’Irak a créé plus de 1 000 échantillons de logiciels malveillants Android, échantillons parmi lesquels une poignée s’est frayée un chemin jusqu’au Play Store officiel de Google, avertissent des chercheurs travaillant pour une entreprise de sécurité.

L’une des prétendues applications SonicSpy, lesquelles sont parvenues à passer à travers les vérifications de sécurité de Google, aurait été grimée en un outil de communication appelé Soniac. Alors qu’elle fonctionnait comme sa publicité la présentait, l’application pouvait aussi secrètement faire des enregistrements vocaux, prendre des photos, passer des appels et voler des données. L’application a été téléchargée entre 1 000 et 5 000 fois avant d’être retirée par Google, mais elle fait partie d’une famille de 1 000 variantes qui pourraient avoir infecté bien plus d’appareils.

Signalée à Google le 7 juillet, l’application Soniac fut retirée par Google le même jour, a confié M. Flossman, un analyste, à Forbes. M. Flossman n’était pas certain que l’application ait été créée en vue d’un usage personnel ou dans le cadre d’une campagne de surveillance.

Il pense que SonicSpy a probablement été produit par le même individu, ou groupe d’individus, se cachant derrière un autre logiciel malveillant, SpyNote, découvert en juillet 2016. L’outil utilisé pour construire SpyNote était automatisé et, au vu du nombre de variantes de logiciels malveillants détenus par SonicSpy, il est apparu que le nouveau maliciel produisait en série des applications malveillantes avec un programme similaire. Des similarités furent aussi trouvées dans le code, nota M. Flossman.

Le suspect iraquien

Le développeur de Soniac, apparaissant sur Google Play en tant que « iraqwebservice », a créé deux autres applications comportant des caractéristiques malicieuses identiques, appelées Troy Chat et Hulk Messenger. Elles ne sont plus valables sur la boutique en ligne, bien que l’on ne sache pas si Google les a retirées ou si le développeur a décidé d’agir. Pour ce qui est des 1 000 échantillons, ils ont été hébergés par différents sites ; l’investigation étant en cours, les noms des sites n’ont pas été communiqués, de même que le nombre de personnes touchées par l’attaque.

Forbes a découvert que l’adresse email du développeur, [email protected], était liée à un nom, Yaser Azeez, et à une adresse en Irak, mais ces informations ne semblent pas correctes.

Le même nom et la même adresse étaient associés à un certain nombre de domaines internet qui semblaient être utilisés pour obtenir des informations sur les utilisateurs. L’un des deux domaines avait l’air d’imiter le fameux site Paypal. Forbes a tenté de contacter le développeur mais n’a à ce jour pas reçu de réponse.

Quelle que soit la personne qui se trouve derrière le logiciel malveillant, son activité est conséquente, précise M. Flossman. « Le groupe qui se cache derrière ça est très actif… de nombreux indicateurs pointent dans le sens d’un unique groupe, qui serait basé en-dehors de l’Irak, » dit-il, ajoutant qu’il y avait des références à l’Irakq dans le code SonicSpy également.

D’autres pirates informatiques ont trouvé des façons de passer à travers les filets de la sécurité Google Play ces derniers temps. Un virus, BankBot, a fait son chemin jusqu’à Google Play alors qu’il tentait de voler les identifiants de connexion bancaire d’utilisateurs réalisant des téléchargements. Un pirate russe se faisant appeler Maza-In a récemment déclaré ne vouloir que montrer les failles de la sécurité Google en aidant à répandre le code malicieux de BankBot, et non faire des bénéfices illégaux.

Google n’a pas répondu à notre demande de commentaire à ce jour.