Un spyware italien pour Android a infecté le Google Play Store durant plusieurs années

  Posted On   By Rémi Virlouvet   Actualités de la cybersécurité

google play

 

Des applications en italien venant d’opérateurs de téléphonie mobile étaient en réalité des spyware (logiciels espions) invasifs qui avaient réussi à contourner les filtres du Google Play Store, selon une étude de l’organisation de sécurité à but non lucratif Sécurité Sans Frontières (Security Without Borders – SWB). Cette campagne de spyware a infecté le magasin en ligne de Google et y est restée pendant de nombreux mois, illustrant ce qu’on pourrait appeler “une affaire d’interception légale qui a mal tourné”, écrit Motherboard.

Le spyware disposait de «vastes capacités de collecte et d’interception» susceptibles «d’exposer les appareils infectés à des compromissions supplémentaires ou à la falsification des données».

Google a supprimé les pages infectées après avoir été averti. Google a passé au crible la plateforme et a découvert que 25 variantes du spyware avaient été téléchargées. La société n’a pas précisé le nombre d’appareils infectés, mais une des applications comptait plus de 350 installations.

Surnommé Exodus, ce spyware pour Android aurait été créé par la société italienne de vidéosurveillance eSurv et fonctionnait en deux étapes: Exodus One et Exodus Two.

“Parmi les différents fichiers binaires téléchargés, les plus intéressants sont null, qui sert d’interpréteur de commande local et inversé, et rootdaemon, qui s’occupe de l’élévation des privilèges et de l’acquisition des données. Ce rootdaemon tentera d’abord de jailbreaker (déverrouiller) l’appareil en utilisant une version modifiée de l’exploit DirtyCow”, indique le rapport.

L’équipe a collecté des échantillons datant de 2016 à 2019, ce qui signifie que le logiciel malveillant est sur le magasin depuis au moins 3 ans. “La plupart de ces applications ont compté chacune quelques dizaines d’installations, une seule allant jusqu’à 350. Toutes les victimes se trouvent en Italie”, ont déclaré des chercheurs.

Motherboard affirme enfin que la société a vendu le programme malveillant au gouvernement italien.