Des applications Android imitant Telegram ont envahi le Play Store. Ces clones malveillants sont en effet conçus pour espionner toutes les conversations des utilisateurs à leur insu…
Les chercheurs en sécurité informatique de Kaspersky ont découvert une pléthore de fausses applications Telegram sur le Google Play Store. Ces clones malveillants ont été installés plus de 60 000 fois par des internautes. Pour attirer les utilisateurs, les développeurs assurent que leurs applications sont plus rapides que la version standard de Telegram.
Les descriptions des applications ont été rédigées en chinois traditionnel, en chinois simplifié et en ouïghour. Comme le soulignent nos confrères de BleepingComputer, il est fort possible que toute l’opération soit commanditée par le gouvernement chinois afin de surveiller les Ouïghours. Cette minorité, de confession musulmane, est massivement persécutée par les autorités chinoises. Dans le but d’étouffer leurs désirs d’indépendance, Pékin a d’ailleurs enfermé plus d’un million d’Ouïghours dans des camps d’apprentissage au cours des dernières années. Pour Amnesty International, ces camps « sont avant tout des lieux de sanction et de torture ».
À lire aussi : Google a enfin compris comment les malwares infiltrent le Play Store
Des applications très curieuses
Une fois installées sur un smartphone, les applications vont aspirer une kyrielle d’informations, comme le nom, l’identifiant de l’utilisateur, le numéro de téléphone et la liste de tous les contacts. Surtout, elles vont espionner toutes les conversations de l’utilisateur sur Telegram. Une ligne de code, identifiée par Kaspersky, peut en effet s’emparer du contenu des messages, du titre, de l’identifiant du canal et du nom de l’expéditeur.
« Si l’utilisateur décide de changer son nom de numéro de téléphone, ces informations se retrouveront également entre des mains malveillantes », souligne Kaspersky.
C’est un comble pour des utilisateurs cherchant à installer une application chiffrée et sécurisée comme Telegram. Conçue par deux opposants russes de Vladimir Poutine, NikolaÏ et Pavel Dourov, la messagerie s’appuie en effet sur le protocole de chiffrement MTProto pour protéger les données des usagers. De plus, Telegram ne réclame qu’une seule donnée, le numéro de téléphone, pour la création d’un compte.
Du reste, les applications ne diffèrent pas de la version officielle de Telegram, dont elles reprennent d’ailleurs une grande partie du code pour berner Google. Il est en effet possible de rejoindre des canaux Telegram et d’échanger avec des contacts. De cette manière, les victimes ne se doutent pas de la supercherie. Dans les grandes lignes, ces applications Telegram malveillantes fonctionnent comme Signal Plus Messenger, une version factice de la messagerie Signal, repérée sur le Play Store cet été. Cette application visait également les Ouïghours et espionnait les messages.
Google prend des mesures
Alerté par les experts de Kaspersky, Google a promptement banni les applications, et leurs développeurs, du Play Store. Le géant de Mountain View s’engage à prendre « au sérieux les réclamations en matière de sécurité et de confidentialité contre les applications ». La firme précise que « les utilisateurs sont par ailleurs protégés par Google Play Protect, qui peut avertir les utilisateurs ou bloquer les applications connues pour présenter un comportement malveillant sur les appareils Android », bien que le mécanisme de sécurité soit régulièrement abusé par les pirates.
C’est d’ailleurs loin d’être la première que des copies de Telegram parviennent à s’infiltrer sur le Play Store au nez et à la barbe de Google. Cet été, une copie malveillante de Telegram, baptisée FlyGram, a été repérée sur la plateforme. En parallèle, on trouve une foule de clones de messageries populaires, par le biais d’APK, sur la toile. Début d’année, ESET a notamment découvert une armée de fausses apps WhatsApp, Telegram et Signal destinées à piller les portefeuilles de cryptomonnaies des investisseurs.
Source :
Kaspersky