Android : attention à ce virus qui se cache dans certaines applications piratées

 
Un logiciel malveillant sous Android a été repéré dans une fausse application d’alerte publique d’éruption volcanique en Italie. Il pouvait aspirer certaines données, notamment d’identification pour des applications sensibles. Mais attention, car ce virus devient de plus en plus diffusée, au travers d’autres applications.
Source : Frandroid

En France, il existe FR-Alert, un système d’alerte d’urgence en France. Les Italiens aussi ont le même service, nommé… IT-Alert, sans grande surprise. Malheureusement, des pirates ont repris ce nom pour publier une fausse application d’alerte d’éruption volcanique, qui s’est révélée être un malware.

IT-Alert : le service d’alerte italien détourné

IT-Alert est donc un réel service public, géré par le gouvernement italien et par le département de la protection civile locale. C’est lui qui fournit des alertes d’urgence et des conseils à la population en cas de catastrophes : incendies, inondations, tremblements de terre, etc. Contrairement à la France métropolitaine, il existe aussi des alertes d’éruptions volcaniques.

Le faux site d’IT-Alert // Source : 3DLab

C’est à partir de ce service qu’un faux site IT-Alert a été monté. Il se targuait de prévenir des risques d’éruptions volcaniques et invitait les visiteurs à télécharger une application sur leur smartphone. Pour les appareils iOS, les utilisateurs étaient redirigés vers le vrai site d’IT-Alert. Mais pour les propriétaires d’appareils Android, un téléchargement d’un fichier APK « IT-Alert.apk » se lançait.

Il s’agit du fichier d’installation d’une application, qu’on peut utiliser pour éviter de passer par le Play Store, là où les applications sont vérifiées au préalable. De quoi passer entre les mailles du filet de Google pour les pirates. Ce site a été repéré par les experts italiens en cybersécurité du D3Lab.

SpyNote : un malware qui évolue et qui continue à sévir

Le problème, c’est qu’à l’intérieur de ce fichier APK, il y avait un logiciel malveillant, nommé SpyNote. La fausse application pouvant accéder aux paramètres d’accessibilité, elle donne aussi les droits à SpyNote. Cela permet à ce dernier d’effectuer de nombreuses actions sur les smartphones des victimes.

C’est comme ça que SpyNote peut voler des informations d’identification sur les applications : banques, cryptomonnaies, réseaux sociaux, etc. Ce virus peut aussi enregistrer les caméras, suivre la position GPS, enregistrer les frappes du clavier ou encore prendre des captures d’écran et intercepter les appels téléphoniques.

La fausse application IT-Alert demandant des autorisations sensibles // Source : 3DLab

Comme le raconte Bleeping Computer, cela fait depuis 2022 qu’on connaît SpyNote sur Android. Deux versions majeures plus tard, il continue d’être vendus entre hackers, notamment via des canaux privés sur Telegram, qui offrent un pseudonymat sécurisé pour ses utilisateurs. Cette troisième version sévit toujours puisqu’un rapport de ThreatFabric a été publié début 2023 : il fait état d’une augmentation du nombre de détections de SpyNote sur des smartphones.

Une hausse des piratages due à la fuite du code source d’une version modifiée, nommée CypherRat. C’est grâce à ce code source que plusieurs variantes ont été crées, permettant de cibler des applications bancaires, des réseaux sociaux ou des services de messagerie. 10 mois plus tard, c’est au tour de F-Secure de tirer la sonnette d’alarme : les détections de SpyNote grimpent en flèche.

Comment se prémunir face aux dangers de ce virus ?

Pour vous prémunir des dangers de ce malware, nous vous conseillons de ne pas télécharger et installer des fichiers APK sur votre appareil Android. Téléchargez des applications via des magasins d’application sécurisés, comme le Play Store.

Un porte-parole de Google a rappelé à Bleeping Computer qu’aucune application du Play Store n’est infectée par SpyNote. Il a ajouté que Google avait mis en place des protections supplémentaires avant la publication du rapport de F-Secure.

De plus, la fonction Google Play Protect peut avertir les utilisateurs ou bloquer des applications si elles ont un comportement suspect. Pour en profiter, assurez-vous que les services Google Play sont activés et à jour. Attention tout de même : cette solution n’est pas infaillible, comme toutes les solutions de sécurité.


Rejoignez-nous de 17 à 19h, un jeudi sur deux, pour l’émission UNLOCK produite par Frandroid et Numerama ! Actus tech, interviews, astuces et analyses… On se retrouve en direct sur Twitch ou en rediffusion sur YouTube !

Les derniers articles