Sur Google Play et Galaxy Store de Samsung, les chercheurs en sécurité d’ESET ont découvert des applications développées à partir du code source ouvert de Signal et Telegram. Elles ont permis l’intégration d’un outil d’espionnage connu en tant que BadBazaar.
» Les victimes installent une application fonctionnelle, mais avec des moyens d’espionnage en arrière-plan « , explique le chercheur en malware Lukas Stefanko d’ESET. En l’occurrence, les applications concernées sont dénommées Signal Plus Messenger et FlyGram.
Les possibilités avec BadBazaar couvrent principalement l’exfiltration d’informations sur l’appareil Android, la liste des contacts, les journaux d’appels et la liste des applications installées. Qui plus est, l’espionnage des messages Signal est évoquée » en reliant secrètement l’application Signal Plus Messenger de la victime à l’appareil de l’attaquant. «
Inquiétant pour le Samsung Galaxy Store…
Sur Google Play, l’application Signal Plus Messenger a été mise en ligne en juillet 2022 et a été retirée par Google le 23 mai 2023. Pour FlyGram, c’était une présence plus ancienne entre juillet 2020 et le 6 janvier 2021.
Du côté du Galaxy Store de Samsung, les deux applications Signal Plus Messenger et FlyGram étaient encore disponibles cette semaine. Elles viennent tout juste d’être retirées, après la publication du rapport d’ESET.
Tant pour Google que Samsung, ESET avait fait un signalement concernant Signal Plus Messenger le 27 avril dernier. À souligner que ESET est membre de l’App Defense Alliance de Google.
Une menace avancée liée la Chine ?
Avec un niveau de confiance dit élevé, les applications malveillantes Signal Plus Messenger et FlyGram sont attribuées au groupe APT portant le nom de GREF et qui serait lié à la Chine.
La télémétrie d’ESET a signalé des détections sur des appareils Android en Allemagne, Australie, Brésil, Congo, Danemark, Espagne, États-Unis, Hong Kong, Hongrie, Lituanie, Pays-Bas, Pologne, Portugal, Singapour, Ukraine et Yémen.