Nouvelle année, nouveau malware. Kaspersky Lab, société privée spécialisée dans la sécurité des systèmes d’information, vient de découvrir un nouveau logiciel espion sophistiqué qui cible uniquement les smartphones Android.
Du nom de Skygofree, ce malware est ce que l’on peut dire complet. En effet, il compte à son actif plus de commandes que le pirate peut activer à distance en envoyant des messages par HTTP, XMPP, SMS ou FirebaseCloudMessaging. Mais de quoi est capable Skygofree ? Comme la majorité des autres malwares, celui-ci permet le rapatriement de données techniques et personnelles (configuration système, SMS, contacts, journal d’appels, calendrier), l’enregistrement audio et vidéo, l’installation d’applications, l’exécution de commandes shell, la géolocalisation et bien plus. Mais ce n’est pas tout. Skygofree propose aux espions d’activer l’écoute audio quand la cible se trouve à un endroit donné (géo repérage). Les experts de Kaspersky Lab disent qu’il s’agit là d’«une fonctionnalité jamais vue jusque-là». Le malware peut également connecter en douce le terminal à un réseau Wi-Fi précis, probablement dans le but de réaliser des attaques par interception (Man-in-the-middle).
Il s’appuie aussi de manière originale sur les services d’accessibilité d’Android pour intercepter les messages WhatsApp au moment où ils s’affichent sur l’écran. L’infection des victimes semble souvent se faire depuis de faux sites web d’opérateurs mobiles. Bien qu’il ait été découvert récemment, ce logiciel malveillant existe depuis 2015 et son utilisation est toujours d’actualité, surtout en Italie qui semble être également son pays d’origine. «Nos données statistiques indiquent plusieurs victimes à ce jour, toutes en Italie», souligne Kaspersky. Et d’après les éléments de langage et les données techniques trouvés dans le code décompilé, les limiers de Kaspersky pensent «avec un haut degré de certitude que les auteurs des implants Skygofree travaillent pour une société informatique italienne proposant des solutions de surveillance, à la manière de HackingTeam».
Un malware peut être pas si méchant que ça, étant donné que la fonctionnalité d’enregistrement audio géolocalisée fait également sens dans le cadre juridique italien. En effet, l’Italie vient de voter une loi pour l’utilisation de chevaux de Troie par les forces de l’ordre et celle-ci spécifie justement l’enregistrement de sources audio environnantes. Le code montre également que les auteurs n’ont pas hésité à prendre quelques raccourcis dans le développement. En effet, plusieurs parties du code ont été copiées-collées directement depuis des projets open source avant d’être adaptées.
