{"id":20972,"date":"2023-09-19T09:55:22","date_gmt":"2023-09-19T07:55:22","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=20972"},"modified":"2023-09-19T09:55:22","modified_gmt":"2023-09-19T07:55:22","slug":"telegram-signal-malware-in-google-play","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/telegram-signal-malware-in-google-play\/20972\/","title":{"rendered":"Messageries espions sur Google Play"},"content":{"rendered":"

Pour les messageries populaires, comme Telegram, Signal et WhatsApp, il existe un certain nombre de clients<\/a> alternatifs (\u00e0 ne pas confondre avec clients<\/em> comme dans le cas des clients humains<\/em> \u2013 la personne qui a choisi cette terminologie ambigu\u00eb m\u00e9rite un bon savon). Ces applications modifi\u00e9es, appel\u00e9es mods, offrent souvent aux utilisateurs des fonctionnalit\u00e9s qui ne sont pas disponibles dans les clients officiels.<\/p>\n

Alors que WhatsApp n\u2019approuve pas les mods et les bannit r\u00e9guli\u00e8rement des boutiques d\u2019applications officielles, Telegram n\u2019a jamais fait la guerre aux clients alternatifs et encourage m\u00eame activement leur cr\u00e9ation<\/a>, si bien que les mods Telegram poussent comme des champignons. Mais sont-ils s\u00fbrs\u00a0?<\/p>\n

H\u00e9las, plusieurs \u00e9tudes r\u00e9centes r\u00e9v\u00e8lent que les mods de messagerie sont \u00e0 utiliser avec beaucoup de pr\u00e9caution. Bien que la plupart des utilisateurs fassent encore aveugl\u00e9ment confiance \u00e0 toute application v\u00e9rifi\u00e9e et publi\u00e9e sur Google Play, nous en avons soulign\u00e9 \u00e0 maintes reprises<\/a> les dangers\u00a0: lors du t\u00e9l\u00e9chargement d\u2019une application sur Google Play, vous pouvez \u00e9galement tomber sur un cheval de Troie<\/a> (celui-ci compte plus de 100\u00a0millions de t\u00e9l\u00e9chargements\u00a0!), une porte d\u00e9rob\u00e9e<\/a>, une application d\u2019abonnement<\/a> malveillante et\/ou un tas d\u2019autres dangers<\/a>.<\/p>\n

Derni\u00e8re nouvelle : Telegram en chinois et ou\u00efghour infect\u00e9 sur Google Play<\/h2>\n

Commen\u00e7ons par une histoire r\u00e9cente. Nos experts ont d\u00e9couvert plusieurs applications infect\u00e9es<\/a> sur Google Play sous l\u2019apparence de versions de Telegram en ou\u00efghour, en chinois simplifi\u00e9 et en chinois traditionnel. Les descriptions des applications sont r\u00e9dig\u00e9es dans les langues respectives et contiennent des images semblables \u00e0 celles de la page officielle de Telegram<\/a> sur Google Play.<\/p>\n

Pour convaincre les utilisateurs de t\u00e9l\u00e9charger ces versions au lieu de l\u2019application officielle, le d\u00e9veloppeur affirme qu\u2019elles fonctionnent plus rapidement que les autres clients gr\u00e2ce \u00e0 un r\u00e9seau distribu\u00e9 de centres de donn\u00e9es dans le monde entier.<\/p>\n

\"Versions<\/a>

Versions de Telegram en chinois simplifi\u00e9, chinois traditionnel et ou\u00efghour sur Google Play contenant un logiciel espion.<\/p><\/div>\n

\u00c0 premi\u00e8re vue, ces applications semblent \u00eatre des clones \u00e0 part enti\u00e8re de Telegram avec une interface localis\u00e9e. Tout a l\u2019air de fonctionner normalement.<\/p>\n

Nous avons jet\u00e9 un coup d\u2019\u0153il dans le code et constat\u00e9 que ces applications \u00e9taient l\u00e9g\u00e8rement diff\u00e9rentes de ce qui \u00e9tait pr\u00e9sent\u00e9. Une petite diff\u00e9rence a \u00e9chapp\u00e9 aux mod\u00e9rateurs de Google Play\u00a0: les versions infect\u00e9es contiennent un module suppl\u00e9mentaire. Celui-ci surveille en permanence ce qui se passe dans la messagerie et envoie un grand nombre de donn\u00e9es au serveur de commande et de contr\u00f4le des cr\u00e9ateurs du logiciel espion\u00a0: tous les contacts, les messages envoy\u00e9s et re\u00e7us avec les fichiers joints, les noms des conversations\/canaux, le nom et le num\u00e9ro de t\u00e9l\u00e9phone du propri\u00e9taire du compte \u2013 en fait, toute la correspondance de l\u2019utilisateur. M\u00eame si un utilisateur change de nom ou de num\u00e9ro de t\u00e9l\u00e9phone, ces informations sont \u00e9galement transmises aux pirates informatiques.<\/p>\n

Pr\u00e9c\u00e9demment : des versions de Telegram et de Signal contenant des logiciels espions constat\u00e9es sur Google Play<\/h2>\n

Il est int\u00e9ressant de noter qu\u2019il y a peu de temps, des chercheurs d\u2019ESET ont d\u00e9couvert<\/a> une autre version de Telegram contenant un logiciel espion, FlyGram. Il est vrai que celle-ci ne cherchait m\u00eame pas \u00e0 faire semblant d\u2019\u00eatre officielle. Au lieu de cela, elle se positionnait comme un client Telegram alternatif (c\u2019est-\u00e0-dire juste une version modifi\u00e9e), et avait trouv\u00e9 sa place non seulement sur Google Play, mais aussi dans le Samsung Galaxy Store.<\/p>\n

Ce qui est encore plus curieux, c\u2019est que ses cr\u00e9ateurs ne se sont pas content\u00e9s d\u2019imiter Telegram. Ils ont \u00e9galement publi\u00e9 une version infect\u00e9e de Signal dans ces m\u00eames boutiques, sous le nom de Signal Plus Messenger. Et pour plus de cr\u00e9dibilit\u00e9, ils sont all\u00e9s jusqu\u2019\u00e0 cr\u00e9er les sites Internet flygram[.]org et signalplus[.]org pour leurs fausses applications.<\/p>\n

\"Signal<\/a>

Il existe \u00e9galement un client Signal contenant un logiciel espion sur Google Play, appel\u00e9 Signal Plus Messenger. (Source<\/a>)<\/p><\/div>\n

\u00c0 l\u2019int\u00e9rieur, ces applications renferment les v\u00e9ritables messageries Telegram\/Signal, dont le code source ouvert a \u00e9t\u00e9 assaisonn\u00e9 d\u2019additifs malveillants.<\/p>\n

FlyGram \u00e9tait ainsi en mesure de voler les contacts, l\u2019historique des appels, une liste de comptes Google et d\u2019autres informations contenues dans le smartphone de la victime, ainsi que d\u2019effectuer des \u00ab\u00a0copies de sauvegarde\u00a0\u00bb de la correspondance \u00e0 stocker\u2026 sur le serveur des pirates informatiques bien entendu (bien que cette \u00ab\u00a0option\u00a0\u00bb d\u00fbt \u00eatre activ\u00e9e ind\u00e9pendamment par l\u2019utilisateur dans la version modifi\u00e9e de la messagerie).<\/p>\n

Dans le cas de Signal Plus, l\u2019approche \u00e9tait quelque peu diff\u00e9rente. Le programme malveillant r\u00e9cup\u00e9rait directement un certain nombre d\u2019informations sur le smartphone de la victime et permettait aux attaquants de se connecter au compte Signal de celle-ci \u00e0 partir de leurs propres appareils sans se faire remarquer, apr\u00e8s quoi ils pouvaient lire toute la correspondance presque en temps r\u00e9el.<\/p>\n

FlyGram est apparu sur Google Play en juillet\u00a02020 et y est rest\u00e9 jusqu\u2019en janvier\u00a02021, tandis que Signal Plus a \u00e9t\u00e9 publi\u00e9 dans les boutiques d\u2019applications en juillet\u00a02022 et n\u2019a \u00e9t\u00e9 retir\u00e9 de Google Play qu\u2019en mai\u00a02023. D\u2019apr\u00e8s BleepingComputer<\/a>, les deux applications \u00e9taient encore disponibles fin ao\u00fbt 2023 dans le Samsung Galaxy Store. M\u00eame si ces applications ont compl\u00e8tement disparu de ces boutiques, combien d\u2019utilisateurs peu m\u00e9fiants continuent d\u2019utiliser ces mods de messagerie \u00ab\u00a0rapides et faciles\u00a0\u00bb qui exposent tous leurs messages \u00e0 des regards indiscrets ?<\/p>\n

Des versions infect\u00e9es de WhatsApp et de Telegram usurpent les adresses des portefeuilles de cryptomonnaies<\/h2>\n

Il y a quelques mois \u00e0 peine, les m\u00eames chercheurs en s\u00e9curit\u00e9 ont d\u00e9couvert<\/a> une s\u00e9rie de versions de WhatsApp et Telegram contenant des chevaux de Troie visant principalement \u00e0 voler des cryptomonnaies. Ces versions consistent \u00e0 usurper les adresses des portefeuilles de cryptomonnaies dans les messages afin d\u2019intercepter les transferts entrants.<\/p>\n

\"]<\/a>

Une version infect\u00e9e de WhatsApp (\u00e0 gauche) usurpe l\u2019adresse d\u2019un portefeuille de cryptomonnaies dans un message adress\u00e9 au destinataire, qui dispose de la version officielle et non infect\u00e9e de WhatsApp (\u00e0 droite). (Source<\/a>)<\/p><\/div>\n

En outre, certaines des versions constat\u00e9es utilisent la reconnaissance d\u2019images pour fouiller les captures d\u2019\u00e9cran stock\u00e9es dans la m\u00e9moire du smartphone \u00e0 la recherche de phrases secr\u00e8tes, c\u2019est-\u00e0-dire une s\u00e9rie de mots de code qui peuvent \u00eatre utilis\u00e9s pour contr\u00f4ler enti\u00e8rement un portefeuille de cryptomonnaies<\/a>, puis le vider.<\/p>\n

Sans compter que certaines des fausses applications Telegram volent des informations sur le profil des utilisateurs stock\u00e9es dans le cloud de Telegram\u00a0: fichiers de configuration, num\u00e9ros de t\u00e9l\u00e9phone, contacts, messages, fichiers envoy\u00e9s\/re\u00e7us, etc. Pour r\u00e9sumer, ces versions volent toutes les donn\u00e9es des utilisateurs, \u00e0 l\u2019exception des conversations secr\u00e8tes<\/a> cr\u00e9\u00e9es sur d\u2019autres appareils. Toutes ces applications ont \u00e9t\u00e9 distribu\u00e9es non pas sur Google Play, mais par le biais d\u2019une vari\u00e9t\u00e9 de faux sites et de cha\u00eenes YouTube.<\/p>\n

Comment se prot\u00e9ger ?<\/h2>\n

Enfin, voici quelques conseils pour vous prot\u00e9ger des versions infect\u00e9es des messageries les plus populaires, ainsi que d\u2019autres menaces ciblant les utilisateurs d\u2019Android\u00a0:<\/p>\n