Les chercheurs de Lookout ont découvert la trace d’un virus espion sur le Google Play Store. Baptisé KoSpy, le logiciel malveillant s’est dissimulé dans le code de cinq applications Android. Dans la foulée, le malware est parvenu à faire une incursion sur une boutique d’apps tierce très populaire, APKPure.
À lire aussi : 2 failles Android sont activement exploitées par des cybercriminels… et la police
Captures d’écran, photos, mots de passe… KoSpy peut piller un smartphone
Une fois installé sur le smartphone de sa victime, KoSpy va télécharger un fichier de configuration chiffré à partir d’un serveur à distance. Ce fichier de configuration va permettre d’installer la charge malveillante, sans éveiller les soupçons du Play Protect.
Il va alors intercepter tous les SMS envoyés et reçus par le téléphone, pister tous les déplacements de l’appareil, voler les fichiers, enregistrer tout ce qui vous entoure avec le micro, prendre des photos, enregistrer des vidéos, faire des captures d’écran, et surveiller tout ce qui est tapé sur le clavier tactile. De cette manière, il va pouvoir mettre la main sur des informations sensibles, comme des identifiants et des mots de passe. C’est pourquoi Lookout considère le virus comme « un nouvel outil de surveillance ». Bref, c’est une véritable catastrophe pour votre vie privée ou votre compte en banque.
À lire aussi : Vol de données sur Android – le redoutable virus espion FireScam menace votre smartphone
Les cinq applications infectées par KoSpy
C’est pourquoi on vous recommande de désinstaller toutes les applications infectées par KoSpy de votre smartphone, à savoir Phone Manager, File Manager, Smart Manager, Kakao Security et Software Update Utility. Les apps malveillantes sont déguisées en applications utilitaires classiques, comme des gestionnaires de fichiers. Pour éviter d’alerter l’utilisateur, les apps offrent une partie des fonctionnalités promises dans leur descriptif. Ce n’est pas le cas de l’app Kakao Security, qui « n’a aucune fonctionnalité utile et affiche une fausse fenêtre système et demande plusieurs autorisations ». Par ailleurs, les fonctions d’espionnage peuvent être temporairement désactivées si le virus pense avoir été débusqué.
Alerté par Lookout, Google a supprimé toutes les applications vérolées de son Play Store. Interrogé par Bleeping Computer, le groupe américain affirme que « le dernier échantillon de logiciel malveillant découvert en mars 2024 a été supprimé de Google Play ». Désormais, « Google Play Protect protège automatiquement les utilisateurs d’Android contre les versions connues de ce logiciel malveillant sur les appareils dotés de Google Play Services, même lorsque les applications proviennent de sources extérieures à Play ».
APKPure a également banni toutes les applications cachant KoSpy. Si vous vous rendez compte qu’une application malveillante est, ou a été installée, sur votre smartphone, prenez le temps de scanner tout votre appareil avec l’aide d’un antivirus. Par précaution, vous pourriez réinitialiser votre téléphone à ses réglages d’usine. En cas d’infection, la suppression de l’app ne suffit pas.
Une cyberattaque venue de Corée du Nord
La campagne basée sur KoSpy est active depuis début 2022. Elle vise surtout les utilisateurs de langue anglaise et coréenne. Les chercheurs attribuent d’ailleurs l’opération KoSpy à un gang de pirates nord-coréens, qui se fait appeler ScarCruft. Les cybercriminels sont soutenus financièrement par l’État nord-coréen.
Actif depuis 2012, il cible principalement des individus et des organisations en Corée du Sud. Ces dernières années, le gang s’est aussi fait remarquer en piratant des entités russes, chinoises et japonaises. Il s’est notamment attaqué à un fabricant russe de missiles balistiques.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Lookout