Deux malwares, ProSpy et ToSpy, ciblent actuellement les smartphones Android en se faisant passer pour des applications populaires. Le duo de virus cherche à aspirer toutes vos données personnelles. Pour rester sous le radar, ils disposent d’une panoplie de tactiques.
Deux virus espion visent actuellement les smartphones Android, ProSpy et ToSpy. Les deux logiciels malveillants se font passer pour des applications populaires, Signal et ToTok, afin de piéger les utilisateurs, indiquent les chercheurs d’ESET dans leur rapport.
Concrètement, les pirates ont mis sur pied des sites web factices dédiés à Signal et ToTok, une application de messagerie retirée du Play Store et de l’App Store en 2019. L’application a en effet été accusée de servir d’outil d’espionnage pour le gouvernement des Émirats arabes unis.
« Aucune des applications contenant le logiciel espion n’était disponible dans les magasins d’applications officiels ; les deux nécessitaient une installation manuelle à partir de sites Web tiers se faisant passer pour des services légitimes », souligne ESET.
À lire aussi : Alerte Android en Europe – ce malware peut siphonner votre compte bancaire pendant que vous dormez
Pillage de données
Sur les sites web, les attaquants proposent aux internautes un plugin de chiffrage des conversations de Signal, présenté comme une solution de sécurité supplémentaire, et une version pro de ToTok. Comme le souligne ESET, ces deux applications n’existent pas, mais elles permettent d’appâter les utilisateurs. ProSpy « est distribué via de faux plugins pour Signal et ToToTok, tandis que ToSpy imite uniquement l’application de messagerie ToTok ».
Une fois installés sur les smartphones visés, les malwares demandent l’accès à la liste de contacts, aux SMS et aux fichiers stockés. Avec ces accès, ils vont promptement aspirer des informations sur l’appareil (adresse IP…), les SMS, la liste des contacts, les fichiers (audio, documents, images, vidéos), les fichiers de sauvegarde ToTok, et la liste de toutes les applications installées.
Des virus qui se camouflent
Pour rester inaperçu, le faux plugin Signal est capable de changer d’icône après le déploiement du virus espion. Celui-ci se déguise en application Play Services sur l’écran d’accueil, ce qui empêche l’utilisateur de le désinstaller. Encore plus vicieux, l’application va afficher un écran d’informations de l’application Play Services, 100 % légitime, si vous cliquez sur l’icône. En clair, le plugin malveillant se fond dans le décor.
De son côté, la fausse application ToTok est en mesure de lancer la véritable application ToTok, si celle-ci est déjà installée sur le smartphone. L’utilisateur n’y voit que du feu. Si l’app n’est pas installée sur le téléphone infecté, l’application espion va ouvrir la page de l’application ToTok sur la Huawei AppGallery. Là encore, la victime ne se rendra pas compte de la supercherie.
Des malwares persistants
ESET a constaté que les deux virus peuvent se relancer automatiquement si l’application est fermée, que ce soit par l’utilisateur ou le système Android. Ils peuvent aussi se faire passer pour un service de premier plan afin d’être considéré comme un processus prioritaire. De facto, le système n’aura pas tendance à fermer l’application. Dans la même optique, l’app malveillante peut se relancer automatiquement au démarrage du téléphone, sans que l’utilisateur ait à ouvrir l’application.
Selon les chercheurs, l’attaque reposant sur ProSpy a débuté l’an dernier, tandis que l’offensive ToSpy pourrait être active depuis 2022. Les pirates visent surtout les utilisateurs aux Émirats arabes unis. Comme toujours, on vous conseille néanmoins d’éviter d’installer des applications en dehors du Play Store. Avant de télécharger une app, même sur un site officiel, vérifiez l’adresse de celui-ci. N’hésitez pas à rechercher le nom du site sur Google pour vérifier qu’il s’agit bien d’une plateforme officielle et authentique. Au moindre doute, abstenez-vous.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
ESET