Des chercheurs ont identifié plusieurs applications Android, disponibles sur Google Play après avoir passé les contrôles de sécurité, qui transmettent secrètement des informations sensibles à des espions travaillant pour le gouvernement nord-coréen. Ces applications malveillantes, baptisées KoSpy, se font passer pour des utilitaires de gestion de fichiers, de mises à jour ou de sécurité.
Des Applications Trompeuses
Les applications malveillantes, découvertes par la firme de sécurité Lookout, imitent des utilitaires tels que des gestionnaires de fichiers ou de téléphone, des mises à jour logicielles et des outils de sécurité. En réalité, elles collectent des données sensibles comme les SMS, les historiques d’appels, la localisation, et même des enregistrements audio et des captures d’écran, pour les envoyer à des serveurs contrôlés par des agents nord-coréens.
Une Présence sur Plusieurs Plateformes
Ces applications étaient disponibles non seulement sur Google Play mais aussi sur le marché tiers Apkpure, ciblant principalement les anglophones et les coréanophones. Parmi les applications identifiées, on trouve ‘Phone Manager’, ‘File Manager’, et ‘Kakao Security’.
Une Infrastructure Complexe
Les applications utilisaient une infrastructure en deux étapes, récupérant des configurations depuis une base de données hébergée sur Firebase, une plateforme de développement d’applications web fournie par Google. Google a depuis supprimé les applications et la base de données de ses serveurs.
Des Capacités de Surveillance Étendues
KoSpy peut collecter une vaste gamme d’informations grâce à des plugins chargés dynamiquement, incluant l’accès aux fichiers locaux, la capture d’écrans, l’enregistrement des frappes au clavier, et la compilation des applications installées. Les données sont ensuite chiffrées avec une clé AES avant d’être envoyées aux serveurs de commande et contrôle.
La Réponse de Google
Google a indiqué que l’échantillon le plus récent a été retiré de Play avant d’être téléchargé, mais n’a pas fourni de détails sur les autres échantillons. L’entreprise a également rappelé que Google Play Protect peut détecter certaines applications malveillantes, même lorsqu’elles proviennent de sources extérieures à Play.
Conseils aux Utilisateurs
Les utilisateurs d’Android sont encouragés à réfléchir attentivement avant d’installer une application, surtout si elle offre des fonctionnalités qui pourraient être accomplies par un navigateur mobile standard. Ceux qui craignent d’avoir été infectés peuvent consulter les indicateurs de compromission fournis par Lookout.
