Google vient de lancer une sévère mise en garde à destination des utilisateurs d’appareils mobiles Android et iOS face à la diffusion massive d’une souche du logiciel espion Hermit.
Selon les chercheurs Benoît Sevens et Clément Lecigne, du groupe d’analyse des menaces (TAG) du géant américain, une variante de ce logiciel espion iOS et Android est actuellement en circulation. Elle cible les appareils utilisés par des salariés de grandes entreprises et d’administrations. Des victimes ont été localisées en Italie et au Kazakhstan.
Enregistrer, appeler ou récupérer des données
Baptisé Hermit, ce logiciel espion a été conçu pour la surveillance modulaire. Après avoir analysé 16 des 25 modules connus, les chercheurs en cybersécurité de Lookout ont expliqué que le logiciel malveillant s’enracine dans les appareils infectés pour enregistrer des contenus audios, pour rediriger ou effectuer des appels téléphoniques ou encore pour voler des données privées (SMS, journaux d’appels, listes de contacts, photos ou données de localisation GPS).
Selon la société de cybersécurité Lookout, les souches du virus ne se trouvent pas dans les dépôts d’applications officiels de Google ou d’Apple, mais dans des applications chargées de logiciels espions téléchargées à partir d’hôtes tiers.
L’échantillon Android repéré par la société de cybersécurité demandait à la victime de télécharger un fichier .APK après avoir autorisé l’installation d’applications mobiles provenant de sources inconnues. Le malware était ensuite déguisé en une application Samsung et utilisait Firebase dans le cadre de son infrastructure de commande et de contrôle (C2). « Bien que l’APK lui-même ne contienne pas d’exploits, le code laisse entrevoir la présence d’exploits qui pourraient être téléchargés et exécutés », ont expliqué les chercheurs de Lookout.
Aussi présent sur iOS
Les équipes de Google ont de leur côté mis en évidence un échantillon de ce virus sur un appareil iOS. Cet échantillon, signé avec un certificat obtenu dans le cadre du programme Apple Developer Enterprise Program, contenait un exploit d’élévation de privilèges qui pouvait être déclenché par six vulnérabilités.
Si quatre d’entre elles (CVE-2018-4344, CVE-2019-8605, CVE-2020-3837, CVE-2020-9907) étaient connues, deux autres – CVE-2021-30883 et CVE-2021-30983 – sont soupçonnées d’avoir été exploitées en tant que failles zero-day avant qu’Apple ne les corrige en décembre 2021. La marque à la pomme a depuis révoqué les certificats associés à la campagne Hermit.
Google et Lookout affirment que le logiciel espion est probablement attribuable à RCS Lab, une société italienne en activité depuis 1993. RCS Lab s’est défendue en faisant savoir au site TechCrunch qu’elle « exporte ses produits dans le respect des règles et réglementations nationales et européennes », et que « toute vente ou mise en œuvre de produits n’est effectuée qu’après avoir reçu une autorisation officielle des autorités compétentes ».
Eruption de spywares
La circulation de Hermit ne fait que mettre en lumière un problème plus large : l’industrie florissante des logiciels espions et de la surveillance numérique.
La semaine dernière, des responsables de Google témoignaient lors de l’audition de la commission d’enquête parlementaire de l’UE sur l’utilisation de Pegasus et d’autres logiciels espions de qualité commerciale.
Selon les équipes du géant américain, plus de 30 fournisseurs proposent actuellement des exploits ou des logiciels espions à des entités soutenues par des gouvernements. Pour Charley Snyder, responsable de la politique de cybersécurité chez Google, bien que leur utilisation puisse être légale, « on constate souvent qu’ils sont utilisés par des gouvernements à des fins contraires aux valeurs démocratiques : cibler des dissidents, des journalistes, des défenseurs des droits humains et des politiciens ».
Source : ZDNet.com
