Lookout découvre un logiciel espion Android déployé au Kazakhstan

perlafouine16 juin 2022Dernière mise à jour: 16 juin 2022

0 2 minutes de lecture

Lookout a annoncé la découverte d’un logiciel de surveillance Android de niveau enterprise actuellement utilisé par le gouvernement du Kazakhstan à l’intérieur de ses frontières. Les chercheurs de Lookout ont également trouvé des preuves du déploiement du logiciel espion – que les chercheurs de Lookout ont nommé « Hermit » – en Italie et dans le nord-est de la Syrie.

Hermit est probablement développé par le vendeur italien de logiciels espions RCS Lab S.p.A. et Tykelab Srl, une société de solutions de télécommunications qui pourrait opérer en tant que société de façade. RCS Lab, un développeur connu pour ses relations passées avec des pays comme la Syrie, opère sur le même marché que le développeur de Pegasus, NSO Group Technologies, et Gamma Group, qui a créé FinFisher. Il s’agit de la première fois qu’un client actuel du logiciel d’espionnage mobile de RCS Lab est publiquement identifié.

Hermit est un logiciel de surveillance modulaire qui dissimule ses fonctions malveillantes dans des packages qui sont téléchargés seulement après son déploiement. Les chercheurs ont pu obtenir et analyser 16 des 25 modules connus. Ces modules, ainsi que les autorisations du cœur du logiciel malveillant, permettent à Hermit d’exploiter un appareil enraciné, d’enregistrer des données audios, de passer et de rediriger des appels téléphoniques, ainsi que de collecter des données telles que des journaux d’appels, des contacts, des photos, la localisation de l’appareil et des SMS.

« Cette découverte nous donne un aperçu approfondi des activités d’un fournisseur de logiciels espions et de la façon dont les logiciels espions sophistiqués basés sur des applications fonctionnent », a déclaré Justin Albrecht, chercheur en Threat Intelligence chez Lookout. « En se basant sur la façon dont Hermit est personnalisable, y compris ses capacités d’anti-analyse et même la façon dont il traite soigneusement les données, il est clair qu’il s’agit d’un outil bien développé conçu pour fournir des capacités de surveillance aux clients de l’État-nation. Ce qui est également intéressant, c’est que nous avons pu confirmer que le Kazakhstan est un client actuel probable de RCS Lab. Il est rare que l’on soit capable d’identifier quels sont les utilisateurs d’un tel fournisseur de logiciels espions ».

Selon les chercheurs de Lookout, le logiciel espion est distribué via des messages SMS prétendant provenir d’une source légitime. Les échantillons de malware analysés se faisaient passer pour des applications d’entreprises de télécommunications ou de fabricants de smartphones. Hermit trompe les utilisateurs en leur présentant les vraies pages Web des marques dont il se fait l’écho alors qu’il lance des activités malveillantes en arrière-plan.

A propos de Lookout

Lookout est une entreprise leader dans la cybersécurité. Notre mission est de sécuriser et de dynamiser notre futur digital dans un monde ou la mobilité et le cloud sont omniprésents dans nos activités. Nous permettons aux consommateurs et aux employés de protéger leurs données et de rester connectés en toute sécurité sans violer ni leur vie privée ni leur confiance. Lookout bénéficie de la confiance de millions d’utilisateurs particuliers, d’entreprises, d’administrations publiques et de partenaires tels qu’AT&T, Verizon, Vodafone, Microsoft, Google et Apple. Ayant son siège à San Francisco, Lookout possède également des bureaux à Amsterdam, Boston, Londres, Sydney, Tokyo, Toronto et Washington, D.C.