Google accuse des opérateurs d’avoir participé au piratage de leurs abonnés. D’après les chercheurs du groupe, certains fournisseurs d’accès Internet ont collaboré avec des attaquants pour déployer un malware espion sur des smartphones.
Le Threat Analysis Group (TAG), le groupe d’analyse des menaces de Google, met en garde les utilisateurs de smartphone Android et d’iPhone. Dans un rapport publié ce 23 juin 2022, les chercheurs expliquent avoir découvert une campagne d’espionnage ayant fait plusieurs victimes en Italie et au Kazakhstan.
La campagne s’appuie sur un logiciel espion baptisé Hermit. Le malware a été déployé pour la première fois en 2019 par les forces de police italienne dans le cadre d’une enquête contre la corruption, révèle le groupe de recherche Lookout.
Un malware de la trempe de Pegasus
Le virus permet de prendre facilement le contrôle d’un smartphone, d’enregistrer des sons à l’insu de l’utilisateur et de rediriger tous les appels. Hermit est également conçu pour aspirer les données du téléphone, comme les contacts du répertoire, les messages, les photos stockées et la localisation.
D’après les chercheurs, le logiciel espion a été développé par RCS Labs, une entreprise basée à Milan. « Connu et actif depuis plus de trois décennies », le groupe italien fait partie des concurrents de NSO Group, l’entreprise israélienne derrière le malware Pegasus, souligne Lookout. En miroir de NSO, RCS Labs affirme réserver ses programmes informatiques aux gouvernements.
Cependant, les chercheurs de Lookout assurent que « ces outils ont souvent été utilisés de manière abusive sous couvert de sécurité nationale pour espionner des dirigeants d’entreprise, des militants des droits de l’homme, des journalistes, des universitaires et des fonctionnaires ». La firme aurait notamment noué un partenariat avec les agences militaires et de renseignement du Pakistan, du Chili, de la Mongolie, du Bangladesh, du Vietnam, du Myanmar et du Turkménistan.
RCS Labs a rapidement répondu aux accusations des chercheurs. Interrogée par Reuters, l’entreprise milanaise déclare que ses produits et services sont conformes aux règles européennes et aident les forces de l’ordre dans leurs enquêtes.
« Le personnel du laboratoire RCS n’est pas exposé et ne participe à aucune activité menée par les clients concernés », se défend RCS Labs tout en condamnant les éventuels abus de ses acheteurs.
Comment des opérateurs participent au piratage de leurs abonnés
D’après Google, le mode opératoire du malware consiste à envoyer un lien à sa cible. Si l’usager clique sur ce lien, partagé par mail ou par le biais d’une messagerie, une page va s’ouvrir. Elle va tenter de convaincre la victime d’installer une application malveillante sous des prétextes fallacieux. Si l’utilisateur tombe dans le piège, le malware Hermit va pénétrer au sein de son smartphone et aspirer ses données.
Pour convaincre l’utilisateur d’installer l’application, les attaquants collaborent parfois avec les opérateurs de télécommunication, assure Google dans son rapport. « Nous pensons que les acteurs ont travaillé avec l’opérateur de la cible pour désactiver les données mobiles », accusent les chercheurs.
Dans ce cas de figure, l’attaque se déroule en deux temps. Tout d’abord, la connexion au réseau du mobile du smartphone est suspendue par l’opérateur. Les attaquants envoient alors un lien malveillant par SMS à la cible. Le message affirme qu’il est nécessaire d’installer une application pour rétablir la connexion Internet. Soucieux de récupérer un accès Internet, l’utilisateur ciblé installe à son insu un logiciel espion.
« Lorsque la participation des FAI n’est pas possible, les applications sont déguisées en applications de messagerie », précisent les experts de Google.
Le rapport ne révèle pas quels opérateurs ont participé au piratage de certains de leurs abonnés.
Lire aussi : Pegasus, logiciel espion à scandale, pourrait bientôt devenir… américain, et encore plus dangereux
Apple et Google réagissent
Google affirme que le maliciel-espion n’est pas parvenu à pénétrer sur le Play Store ou l’App Store. Par contre, certains attaquants ont réussi à distribuer des applications iOS infectées par Hermit en passant par le Developer Enterprise Program. Ce programme permet aux entreprises de distribuer des apps aux membres de leur personnel. Le système a été plusieurs fois abusé par des hackers. Il permet en effet de contourner le processus de vérification des applications de l’App Store.
Contacté par The Verge, Apple assure avoir révoqué tous les comptes ou certificats liés à la menace Hermit. De son côté, Google annonce avoir déployé une mise à jour pour garantir la sécurité des internautes.
Source :
Google