Le Threat Analysis Group de Google a conclu qu’un grave logiciel espion se propageait avec l’aide des fournisseurs de services internet. L’application se serait propagée sur Android et iOS en convainquant les utilisateurs d’installer des applications malveillantes.
« Nos résultats montrent à quel point les fournisseurs commerciaux de sécurité disposent de capacités étendues. Par le passé, ces capacités n’étaient utilisées que par les gouvernements disposant de l’expertise technique nécessaire pour développer et mettre en œuvre des exploits. Cela rend l’internet moins sûr et menace la confiance dont dépendent les utilisateurs », peut-on lire dans un nouveau blog publié par le Threat Analysis Group (TAG).
Selon le groupe, il était d’une grande importance sociale de publier la recherche. Le logiciel espion Hermit donne accès à l’historique des appels, à la localisation, aux photos et aux messages texte de l’appareil infecté.
Coopération avec les FAI
Le logiciel espion peut se cacher dans une application qui semble légitime, comme WhatsApp ou Instagram. Cependant, le TAG a constaté que, dans certains cas, la collaboration entre une bande criminelle et un fournisseur d’accès à Internet (FAI) a désactivé la connectivité des données d’un appareil. L’appareil concerné a ensuite reçu un texto contenant un lien d’installation d’une application permettant de rétablir la connectivité. Si le propriétaire de l’appareil a suivi le lien, une application malveillante a été installée.
Le logiciel espion a déjà fait des victimes en Italie et au Kazakhstan. Les chercheurs ont déjà informé toutes les victimes. Les conséquences d’un tel logiciel ont été mises en évidence précédemment par le logiciel espion Pegasus.
Apps non accessibles au public
Selon TAG, les applications malveillantes ne pouvaient à aucun moment être téléchargées depuis les boutiques d’applications de Google et d’Apple. Sur iOS, en revanche, l’application pourrait être distribuée à travers le Developer Enterprise Program d’Apple. « Le certificat répond à toutes les exigences pour la signature des codes iOS sur tous les appareils iOS », écrit TAG à propos de ce processus.
Apple a déclaré à The Verge que tous les comptes et certificats liés au logiciel espion ont maintenant été supprimés. Google a également mis à jour Google Play Protect pour tous les utilisateurs, mais aucun abus n’aurait été détecté.