Les chercheurs d’ESET ont découvert les premières manifestations connues d’un espiogiciel (spyware) qui s’appuie sur l’outil d’espionnage open source baptisé AhMyth. Cet espiogiciel se faisait passer pour une appli de radio Internet diffusant de la musique baloutche très spécifique. Toutefois, les fonctions d’espionnage repérées peuvent aisément être greffées à n’importe quelle autre appli.
AhMyth, dont l’appli de radio Internet a emprunté ses fonctionnalités malveillantes, avait été mis à disposition fin 2017. Depuis lors, une série d’applis malveillantes, basées sur AhMyth, ont fait leur apparition. Néanmoins, l’appli mentionnée ci-dessus, baptisée Radio Balouch, est la toute première d’entre elles à réussir à s’implanter sur Google Play, la boutique d’applis Android officielle.
Depuis janvier 2017, bien avant qu’AhMyth ne fasse ses débuts publics, ESET Mobile Security for Android a offert une protection contre AhMyth et ses dérivés. « Les fonctionnalités malveillantes d’AhMyth ne sont pas cachées, protégées ou occultées. Il est dès lors très facile d’identifier l’appli Radio Balouch — et d’autres applis dérivées — comme étant malveillantes et de les cataloguer comme appartenant à la famille AhMyth », explique Lukáš Štefanko, chercheur en maliciels chez ESET et responsable de l’investigation ayant conduit à cette découverte.
Après qu’ESET l’ait signalée à Google, l’équipe de sécurité de cette dernière a retiré l’appli malveillante Radio Balouch de sa boutique en-ligne. Toutefois, les pirates n’ont pas tardé à faire réapparaître l’appli sur Google Play. « Nous avons également détecté et signalé la deuxième instance de ce maliciel, qui fut rapidement éliminée. Malgré tout, le fait que le même développeur a réussi à publier à répétition ce maliciel flagrant sur sa boutique a un côté inquiétant », déclare Lukáš Štefanko.
Radio Balouch, identifiée par ESET sous l’identité Android/Spy.Agent.AOX, a fait l’objet d’une promotion sur un site Internet dédié, sur Instagram et sur YouTube. Après avoir été retirée de Google Play, elle est désormais disponible sur certaines autres boutiques d’applis.
Cette appli est une application de radio Internet aux fonctionnalités complètes, dédiée à la musique spécifique de la région du Balouchistan. Toutefois, sous ce couvert, l’appli espionne ses utilisateurs: elle peut s’emparer des contacts et collecter des fichiers stockés sur l’appareil contaminé. « L’outil d’espionnage open source AhMyth existe sous de nombreuses variantes présentant diverses fonctionnalités. L’appli Radio Balouch – et n’importe quel autre maliciel basé sur AhMyth — sont susceptibles d’hériter de nouvelles fonctions à l’avenir », prévient Lukáš Štefanko.
Aux yeux des chercheurs d’ESET, l’apparition, à répétition, de l’appli malveillante Radio Balouch sur la boutique Google Play devrait servir d’avertissement à la fois pour l’équipe de sécurité de Google et pour les utilisateurs Android. « A moins que Google n’améliore ses capacités de sécurité, un nouveau clone de Radio Balouch ou n’importe quel autre dérivé d’AhMyth peut faire prochainement son apparition sur Google Play », souligne Lukáš Štefanko. « La première règle de sécurité impérative, qui consiste à s’en tenir à des sources officielles d’applis, est toujours valable. Toutefois, à elle seule, elle ne peut garantir la sécurité. Nous recommandons fortement aux utilisateurs d’étudier minutieusement chaque appli qu’ils ont l’intention d’installer sur leur appareil et d’utiliser une solution de sécurité mobile réputée », conclut Lukáš Štefanko.