TOOLinux

Le journal du Libre

Radio Balouch : un espiogiciel open source... sur Google Play

vendredi 23 août 2019

Les chercheurs d’ESET ont découvert les premières manifestations connues d’un espiogiciel (spyware) qui s’appuie sur l’outil d’espionnage open source baptisé AhMyth. Retirée, l’application Radio Balouch est... revenue.

Cet espiogiciel se faisait passer pour une appli de radio Internet diffusant de la musique baloutche très spécifique. Toutefois, les fonctions d’espionnage repérées peuvent aisément être greffées à n’importe quelle autre appli.

AhMyth, dont l’appli de radio Internet a emprunté ses fonctionnalités malveillantes, avait été mis à disposition fin 2017. Depuis lors, une série d’applis malveillantes, basées sur AhMyth, ont fait leur apparition.

Néanmoins, l’appli mentionnée ci-dessus, baptisée Radio Balouch, est la toute première d’entre elles à réussir à s’implanter sur Google Play, la boutique d’applis Android officielle.

Radio Balouch, identifiée par ESET sous l’identité Android/Spy.Agent.AOX, a fait l’objet d’une promotion sur un site Internet dédié, sur Instagram et sur YouTube.

Cette appli est une application de radio Internet aux fonctionnalités complètes, dédiée à la musique spécifique de la région du Balouchistan. Toutefois, sous ce couvert, l’appli espionne ses utilisateurs : elle peut s’emparer des contacts et collecter des fichiers stockés sur l’appareil contaminé. « L’outil d’espionnage open source AhMyth existe sous de nombreuses variantes présentant diverses fonctionnalités.

« Les fonctionnalités malveillantes d’AhMyth ne sont pas cachées, protégées ou occultées. Il est dès lors très facile d’identifier l’appli Radio Balouch — et d’autres applis dérivées — comme étant malveillantes et de les cataloguer comme appartenant à la famille AhMyth », explique Lukáš Štefanko, chercheur en maliciels chez ESET.

Retrait de l’application Radio Balouch (mais pas partout)

Après qu’ESET l’a signalée à Google, l’équipe de sécurité de cette dernière a retiré l’appli malveillante Radio Balouch de sa boutique en ligne. Toutefois, les pirates n’ont pas tardé à faire réapparaître l’appli sur Google Play.

« Nous avons également détecté et signalé la deuxième instance de ce maliciel, qui fut rapidement éliminée. Malgré tout, le fait que le même développeur a réussi à publier à répétition ce maliciel flagrant sur sa boutique a un côté inquiétant », déclare Lukáš Štefanko.

Mais attention : après avoir été retirée de Google Play, elle est désormais disponible sur certaines autres boutiques d’applis.

L’appli Radio Balouch – et n’importe quel autre maliciel basé sur AhMyth — sont susceptibles d’hériter de nouvelles fonctions à l’avenir », prévient Lukáš Štefanko.


Vos photos sécurisées sans limite de stockage avec Prime Photos, l’un des atouts de l’abonnement Prime d’Amazon. Avec 2 millions de titres musicaux légalement. Et la livraison gratuite partout en Europe. Compatible Android, web et Linux. Testez 30 jours gratuitement. Entreprises ? L’offre Business est faite pour vous, stockage illimité de photos compris. (Publicité)

Un avertissement aux équipes de sécurité de Google

Aux yeux des chercheurs d’ESET, l’apparition, à répétition, de l’appli malveillante Radio Balouch sur la boutique Google Play devrait servir d’avertissement à la fois pour l’équipe de sécurité de Google et pour les utilisateurs Android.

« A moins que Google n’améliore ses capacités de sécurité, un nouveau clone de Radio Balouch ou n’importe quel autre dérivé d’AhMyth peut faire prochainement son apparition sur Google Play. La première règle de sécurité impérative, qui consiste à s’en tenir à des sources officielles d’applis, est toujours valable. Toutefois, à elle seule, elle ne peut garantir la sécurité. Nous recommandons fortement aux utilisateurs d’étudier minutieusement chaque appli qu’ils ont l’intention d’installer sur leur appareil et d’utiliser une solution de sécurité mobile réputée », conclut Lukáš Štefanko.