Skygofree, un spyware aux capacités étonnantes découvert sur Android
« Des capacités qui rappellent un film d'espionnage », ainsi Kaspersky décrit-il un cheval de Troie trouvé sur des smartphones Android utilisés, a priori, uniquement en Italie. L'éditeur russe, spécialisé dans les logiciels anti-virus, a baptisé sa découverte Skygofree, en écho à l'un des noms de domaines utilisés par les auteurs de ce spyware.
L'énumération de ses possibilités dessine un logiciel aux multiples talents, qui s'est musclé avec le temps [détails plus techniques]. Kaspersky l'a découvert en octobre dernier mais il fait remonter sa genèse à la fin 2014, avec une évolution progressive de ses capacités. « L'un des spywares les plus puissants que nous ayons jamais vu sur cette plateforme » écrit l'éditeur, un brin admiratif.
Parmi ses nombreuses facultés, il y a celle de pouvoir déclencher un enregistrement audio par le micro dès lors que le téléphone se trouve à un emplacement géographique particulier. On voit tout de suite le bénéfice que l'on peut retirer d'un tel système d'écoute discret que la victime va emmener partout sur elle.
Ensuite, la désactivation de la connexion Wi-Fi n'empêche pas le logiciel de se connecter à un point d'accès mis en place par ses auteurs, afin de garder un contact avec l'appareil et tenter d'en intercepter les données.
Le basculement en mode veille ne le gêne pas davantage, poursuit Kaspersky qui a constaté une utilisation futée d'une spécificité des téléphones Huawei :
La dernière version d’Android peut arrêter automatiquement les processus inactifs pour économiser la batterie, mais Skygofree est capable de contourner cette fonctionnalité en envoyant périodiquement des notifications système. Et sur les smartphones conçus par l’un des grands noms de la technologie, où toutes les applications sauf les favorites, sont arrêtées lorsque l’écran est éteint, Skygofree s’ajoute automatiquement à la liste des favoris.
Les services d'accessibilité d'Android pour les utilisateurs malvoyants ou malentendants sont également mis à profit pour lire et récupérer le texte échangé dans les messageries, en particulier WhatsApp. Le logiciel obtient les droits d'accès à ces services système — qu'un utilisateur qui n'en a pas l'utilité rejettera — en déguisant la demande pour la faire passer pour autre chose de plus anodin.
La liste ne s'arrête pas là, cette boite à outils peut forcer la caméra frontale à prendre une photo dès que l'utilisateur déverrouille son téléphone ; intercepter des SMS ou bien des saisies dans l'application de calendrier, etc.
S'agissant de son mode de distribution, Kaspersky parle de faux sites d'opérateurs mobiles, comme celui de Vodafone, où le visiteur est invité à télécharger une mise à jour supposée accélérer sa connexion internet. Pendant l'installation, le logiciel récupère les outils dont il a besoin, apparemment il peut le faire de manière granulaire en fonction des besoins de ses concepteurs.
Kaspersky déclare n'avoir détecté d'activité de Skygofree qu'en Italie, ce qui n'exclut pas pour autant une utilisation ailleurs dans le monde. Ses conseils pour s'en prévenir oscillent entre le bon sens et l'incitation commerciale : ne pas télécharger des logiciels n'importe où ; se méfier des invitations à récupérer une mise à jour ou un logiciel et dont la forme présente des éléments suspects ; ne pas valider à la légère les autorisations d'accès réclamées par les logiciels à leur lancement… et s'équiper de son anti-virus pour Android.
Black Mirror en fait c de la préhistoire :)
Quand je regarde Apple je pleure
Quand je regarde Android je me console
?
@sgt pepper :
J’ai découvert hier que j’ai un virus sur mon iphone et j’en ai la preuve : une pseudo adresse email (contenant un message un peu maquillé) ainsi qu’un mot de passe foireux installés dans mon trousseau. Si je les supprime de mon trousseau, le mot de passe est effectivement supprimé mais l’adresse email revient systématiquement, alors même que j’ai désactivé la sauvegarde du trousseau sur icloud.
Je disais ces derniers jours que mon trousseau avait été hacké mais que je ne savais pas si l’attaque était passée par macOS ou iOS ; finalement je ne suis pas surpris qu’il s’agisse d’iOS vu que toutes les attaques précédentes (SMS d’intimidation, email de phishing renvoyant vers des sites dont l’URL simplifiée contient un message légèrement maquillé) sont passées par mon téléphone ou mon adresse email SFR (adresse email que je n’ai strictement jamais utilisée).
Et je ne suis pas surpris que l’attaque passe par mon compte SFR.
(Les con...ds d’extrême droite qui n’apprécient pas que je critique la politique de colonisation de leur petit pays - j’espère pour eux qu’ils opèrent depuis ce pays et non depuis la France - peuvent se brosser pour que je la ferme).
Android garantit une large écoute.
Je serais Google, j’embaucherais illico ces petits « génies ».
@tbr
Ces petits genies bossent pour une boite de sécurité italienne. Cette dernière vend ces services à l’état.
@reborn
Ah oups ! Ma diagonale de lecture était un peu trop abrupte.
Merci de l’info.
Mais j’imagine, j’espère, j’appréhende que les services secrets (Français entre autre) sont capables de ça.
Qu’ils puissent accéder à n’importe quel téléphone dans le monde, via différents moyens.
Un peu comme dans la série Le Bureau des Légendes.
J’appréhende car je ne souhaite pas être surveillé.
J’espère, car c’est une solution pratique de lutte contre le grand banditisme, le terrorisme et compagnie ...
@Desseaux
Mais j’imagine, j’espère, j’appréhende que les services secrets (Français entre autre) sont capables de ça.
La preuve ça marche aussi dans les deux sens
SURTOUT ne faites pas vos mises à jour hein ? ???
Allez ciao à tous ceux qui pensent qu’Android est meilleur hein ? Et surtout UN GROS POUTOU ! ?
Certains n'ont toujours pas compris que ce malware est une application, qu'il faut installer manuellement sur son smartphone, puis dont il faut accepter les permissions, pour qu'elle puisse agir.
Autrement dit, c'est l'équivalent des pages web rouges qui clignotent, sur le navigateur d'un PC, avec écrit en gros : "Mise à jour d'Adobe Flash Player disponible, installez ce fichier .exe !!!".
Si un site web vous demande : "quel est le mot de passe de votre iPhone ?", et que vous répondez, est-ce qu'iOS a une faille de sécurité ?
Troll inside : en fait, c’est Android le virus. ?