Les chercheurs de Lookout ont deux nouvelles familles de spyware taillés pour infiltrer les smartphones Android. Les deux logiciels malveillants ont été développés et déployés par Gamaredon, un gang de cybercriminels affiliés au Service fédéral de sécurité (FSB) de la Russie. Ce service emploie régulièrement des pirates pour mener des opérations d’espionnage.
Actif depuis au moins 2013, Gameredon est spécialisé dans des campagnes de phishing et les offensives reposant sur des malwares. Cependant, c’est la toute première fois de son histoire que le gang s’attaque à ses cibles par le biais de smartphones.
À lire aussi : Cyberattaque contre les clients de 8 banques françaises – un virus cherche à piller votre compte
BoneSpy, le virus espion ultra-complet
Le premier virus, baptisé BoneSpy, est apparu en 2021. Pour pénétrer sur le téléphone de ses cibles, le virus se cache dans de fausses applications Telegram, l’une des tactiques les plus appréciées des pirates. Il s’est aussi caché dans une version factice de Samsung Knox, une suite de sécurité officielle de Samsung.
Une fois installé, le logiciel malveillant va collecter tous les SMS, enregistrer l’audio ambiant et les conversations téléphoniques, aspirer données GPS, prendre des photos avec l’appareil photo, réaliser des captures d’écran, accéder à l’historique de navigation et extrait le contenu du presse-papiers. Dans la foulée, le virus va consulter vos notifications et s’emparer de votre répertoire de contacts.
Bref, le virus s’empare d’une multitude d’informations personnelles sur ses victimes. Aux dires de Lookout, BoneSpy repose sur le code de DroidWatcher, une application de surveillance open source.
PlainGnome, le malware furtif
De son côté, PlainGnome dispose d’un code source exclusif. Il ne repose pas sur un outil déjà disponible, et est toujours en cours de développement. Le code du malware est appelé à évoluer. En miroir de BoneSpy, il peut siphonner toutes les données stockées ou transitant sur votre smartphone.
PlainGnome peut cependant aspirer les données uniquement quand l’appareil est inutilisé. Il peut « arrêter automatiquement l’enregistrement lorsque l’écran de l’appareil est activé ». Cette précaution permet au virus de ne pas se faire repérer par l’usager.
Il se distingue aussi par un processus d’installation en deux étapes. Cette tactique consiste à s’appuyer sur un malware de type « dropper », ou compte-gouttes. Ces logiciels sont seulement prévus pour installer d’autres virus sur le smartphone des victimes en contournant les mesures de sécurité. C’est seulement une fois que le « dropper » est arrivé sur le téléphone qu’il installe le véritable malware.
Le Play Store est sauf
Pour le moment, les deux virus ciblent les individus qui vivent dans des anciens États soviétiques, comme l’Ouzbékistan, le Kazakhstan, le Tadjikistan et le Kirghizistan. Il est probable que les deux virus visent aussi l’Ukraine, au vu de l’historique de méfaits de Gameredon.
Bonne nouvelle, les nouvelles armes des pirates russes n’ont pas réussi à entrer sur le Google Play Store. BonySpy a surtout fait des dégâts entre janvier et octobre 2022. Du côté de PlainGnome, les attaques se sont multipliées depuis son apparition cette année, à mesure que le code s’améliore et se pare de nouvelles fonctionnalités.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Lookout
