Les chercheurs de Kaspersky ont découvert que les attaquants distribuent des logiciels espions qui collectent furtivement les données privées des utilisateurs de WhatsApp sur les appareils Android, via les mêmes modules découverts précédemment pour le service Telegram concurrent.
Dans un bulletin publié le 2 novembreKaspersky a dénombré 340 000 tentatives de diffusion du logiciel espion via le mod WhatsApp.
Dmitry Kalinin, expert en sécurité chez Kaspersky, estime que le nombre réel de tentatives d’attaque est plus élevé. « Si l’on considère la nature du canal de distribution, le nombre réel d’installations pourrait être bien plus élevé », a expliqué Kalinine dans le bulletin.
Bien que l’attaque ait touché des utilisateurs du monde entier, 46 % des victimes se trouvaient en Azerbaïdjan. Parmi les autres pays comptant un pourcentage élevé de victimes figurent le Yémen, l’Arabie saoudite, l’Égypte et la Turquie, principalement des pays dont les citoyens parlent arabe.
Les mods WhatsApp, des applications tierces légitimes conçues pour donner à l’application de messagerie des capacités améliorées, sont devenus un refuge pour les logiciels malveillants. Dans dernières années, les attaquants ont lancé Triada, un cheval de Troie mobile qui télécharge davantage de logiciels malveillants, lance des publicités et intercepte les messages des victimes. Kaspersky l’année dernière, j’avais prévenu que Triada proliférait sur des applications légitimes telles qu’une version usurpée de YoWhatsApp, largement utilisé.
Cibler les utilisateurs de Telegram
Au cours de l’été, Kaspersky a mis en garde contre une augmentation du nombre d’attaquants injectant des logiciels espions dans des mods Telegram non officiels, ciblant les utilisateurs en Chine. Igor Golovine, chercheur chez Kaspersky écrit en septembre que ce logiciel espion pourrait voler la correspondance, les données personnelles et les contacts d’une victime. « Et pourtant, leur code n’est que légèrement différent du code original de Telegram pour des contrôles de sécurité fluides sur Google Play », a noté Golovin. Google a ensuite supprimé les mods incriminés de sa boutique d’applications Google Play.
« C’est désormais la même chose avec WhatsApp : plusieurs modules, auparavant inoffensifs, contiennent un module espion que nous détectons sous le nom de Trojan-Spy.AndroidOS.CanesSpy », prévient désormais Kalinin. Expliquant le fonctionnement du module espion, Kalinin note que le manifeste du client infecté par le cheval de Troie contient des composants suspects, tels qu’un service et un récepteur de diffusion, qui ne se trouvent pas dans le client WhatsApp d’origine.
Après avoir découvert le logiciel espion dans les modules WhatsApp, l’analyse des chercheurs de Kaspersky a montré que Telegram était la principale source sur différents canaux. « Le plus populaire d’entre eux comptait près de deux millions d’abonnés », note Kalinin. « Nous avons alerté Telegram du fait que les canaux étaient utilisés pour diffuser des logiciels malveillants. »
Au moment de la publication, un porte-parole de Kaspersky a déclaré que la société n’avait pas reçu de réponse de Telegram. Telegram n’a pas non plus répondu à une demande de Dark Reading, bien que dans une réponse automatique de son robot de presse, la société ait déclaré : « Telegram s’engage à protéger la vie privée des utilisateurs et les droits de l’homme tels que la liberté d’expression et de réunion. rôle dans les mouvements pro-démocratie à travers le monde.
De même, Meta, le parent de WhatsApp, n’a pas répondu à une demande de Dark Reading.
