SpyDealer, le malware qui espionne de fond en comble des smartphones Android

Les chercheurs en sécurité de Palo Alto Networks ont repéré un nouveau malware Android particulièrement intrusif. Baptisé SpyDealer, la bestiole est capable de récupérer les données échangées à travers une quarantaine d’applications. Notamment des messageries (WeChat, WhatsApp, Skype, BBM, Line, Viber, QQ, Tango, Telegram…), mais aussi des navigateurs (Android Native, Firefox, Oupeng…) ou des plate-formes sociales (Facebook, Weibo…) et d’autres applications de services et d’e-commerce (Taobao, Baidu Net Disk…).

Enregistrer les appels téléphoniques

SpyDealer excelle également dans le vol de données système. Il est ainsi capable de récupérer les informations propres au terminal mobile comme les numéros IMEI (identifiant de l’appareil), IMSI (identifiant de la carte SIM) ainsi que les conversations SMS et MMS, la liste des contacts, l’historique des appels, et les informations de connectivité et localisation du Wifi. Pire, il peut enregistrer les appels téléphoniques ainsi que les sons et images (vidéo) captés par le smartphone, et même déclencher arbitrairement des prises de vues, effectuer des captures d’écran et suivre à la trace les déplacements de l’appareil. Bref, un vrai couteau-suisse du vol de données personnelles.

Les chercheurs de la société de sécurité ignorent pour le moment comment les terminaux sont initialement infectés. « Mais nous avons assez de preuves pour avancer que les utilisateurs chinois sont infectés à travers des réseaux Wifi compromis », indique Palo Alto Networks dans sa publication. D’ailleurs, SpyDealer n’est pas distribué à travers le store Google Play, selon les experts. Lesquels ont prévenu l’éditeur qui a mis en place des protections dans Play Protect. Enfin, le malware n’est fonctionnel que pour les versions d’Android comprises entre 2.2 et 4.4. Ce qui représente tout de même 25% des utilisateurs de la plate-forme dans le monde. Les équipes de Palo Alto s’accordent en revanche à penser que le spyware s’appuie sur l’application de root Baidu Easy Root (qui permet à l’utilisateur de disposer des privilèges administrateur) pour opérer et se maintenir dans le système. Il y apparaît alors sous la forme trompeuse de « GoogleServices » ou « GoogleUpdate ».

Même les Android récents peuvent être infectés

Néanmoins, « sur les périphériques tournant sur des versions ultérieures d’Android, [SpyDealer] peut encore voler des quantités importantes d’informations, mais il ne peut pas exécuter des actions nécessitant des privilèges plus élevés », soulignent les chercheurs en sécurité. Personne n’est totalement à l’abri, donc. D’autant que le malware est en phase de développement rapide. Palo Alto Networks a capturé 1046 exemplaires de la bestiole, qui se propage actuellement à travers trois versions (1.9.1, 1.9.2, et 1.9.3). L’échantillon le plus ancien date d’octobre 2015 et le plus récent de mai 2017. « A partir de la version 1.9.3, le contenu des fichiers de configuration et presque toutes les chaînes constantes du code sont cryptés ou codés, ajoutent les ingénieurs. Un service d’accessibilité a également été introduit dans la 1.9.3 pour voler les messages des applications ciblées. » Si la quasi totalité des serveurs de commande et contrôle sont situés en Chine, la firme américaine en a tout de même repéré deux aux Etats-Unis.

Si les victimes de SpyDealer se concentrent en Chine (pays des smartphone « rootés » et des stores alternatifs à celui de Google), le malware, particulièrement complet, présente l’occasion de rappeler qu’il est nécessaire de maîtriser le fonctionnement d’un système comme Android avant d’y installer un utilitaire permettant d’exploiter les privilèges administrateur (ou superuser) du mode root.

Lire également

Des fausses antennes radio diffusent des malwares Android en Chine
Le malware Gooligan terrorise des millions de terminaux Android
Switcher, le malware Android qui s’attaque aux réseaux Wifi