Android : attention à ce logiciel espion qui se diffuse sur les applications de messagerie

Utilisateurs d’Android, soyez extrêmement méfiants : le dangereux spyware BadBazaar est actuellement diffusé sur les canaux officiels, le Google Play Store et le Samsung Galaxy Store, en se faisant passer pour Telegram et Signal. Il collecte toutes vos informations.

Android spyware
Android : attention à ces deux fausses applications qui diffusent le spyware BadBazaar

Android est de nouveau confronté à un dangereux spyware alors qu’un malware pille les comptes bancaires partout dans le monde. Des chercheurs en cybersécurité ont découvert des applications Android malveillantes pour Signal et Telegram distribuées via le Google Play Store et le Samsung Galaxy Store, qui sont conçues pour délivrer le logiciel espion BadBazaar sur les appareils infectés.

Des applications Android trompeuses pour Signal et Telegram espionnent les utilisateurs

BadBazaar a été documenté pour la première fois par Lookout en novembre 2022 comme ciblant la communauté ouïghoure en Chine, avec des applications Android et iOS apparemment bénignes qui, une fois installées, récoltent un large éventail de données, y compris les journaux d’appels, les messages SMS, les localisations et autres.

Les deux applications, Signal Plus Messenger et FlyGram, sont donc conçues pour collecter et exfiltrer des données sensibles des utilisateurs via ce logiciel espion, chaque application étant dédiée à collecter également des informations à partir des applications respectives qu’elles imitent : Signal et Telegram.

À lire : Android : ces 101 applications sont infectées par un dangereux malware, 400 millions d’utilisateurs sont concernés

Le logiciel espion BadBazaar récolte les données suivantes sur les appareils infectés :

  • Les informations sur l’appareil, comme le modèle, le système d’exploitation, le numéro IMEI, le numéro de téléphone, etc.
  • La liste des contacts, avec les noms, les numéros, les adresses e-mail et les photos
  • Les journaux d’appels, avec les dates, les durées, les numéros et les types (entrant, sortant, manqué)
  • La liste des applications installées, avec les noms, les icônes et les permissions
  • Les messages Signal, en liant secrètement l’application Signal Plus Messenger de la victime à l’appareil de l’attaquant
  • Les sauvegardes de chat Telegram, si la victime active la fonctionnalité de synchronisation dans le cloud à partir de l’application FlyGram.

La société slovaque ESET a attribué la campagne à un acteur lié à la Chine, appelé GREF. Ces logiciels espions sont actifs depuis juillet 2020 et depuis juillet 2022 respectivement. Méfiance est donc de rigueur puisqu’un autre spyware, baptisé SafeChat, attaque en ce moment aussi les applications de chat sur Android.

Les victimes ont été principalement détectées en Allemagne, en Pologne et aux États-Unis, suivies par l’Ukraine, l’Australie, le Brésil, le Danemark, le Congo-Kinshasa, Hong Kong, la Hongrie, la Lituanie, les Pays-Bas, le Portugal, Singapour, l’Espagne et le Yémen.

Source : ESET