Passer au contenu

SonicSpy: des milliers d’applications Android malveillantes y compris sur GooglePlay

Une nouvelle menace vient de faire son apparition ces dernières heures avec la publication d’une imposante liste d’applications malveillantes, dont certaines se trouvaient sur le Google Play Store.

On doit cette découverte au spécialiste de la cyber sécurité Lookout, qui a découvert qu’au moins 1000 applications étaient vérolées avec des variantes de SonicSpy, un logiciel espion. L’expert en sécurité explique que ces derniers mois, on note des tentatives très agressives pour tenter de faire pénétrer un maximum d’applications avec ce spyware, avec une recrudescence dans les dernières semaines.

Attention un spyware se fait passer pour des applications de messagerie sur Android

Les hackers derrières ces applications malveillantes privilégient les clones de messagerie car ils les savent populaires. On peut notamment citer l’application Soniac qui propose une messagerie intégrant des fonctionnalités de Telegram, mais également un spyware. Cette applications comme les très nombreuses autres mises en évidence par Lookout peuvent donc conserver les conversations, récupérer des images, des vidéos, des historiques, mais également envoyer des SMS, envoyer des mails, passer des appels, etc. La liste de possibilités est longue et Lookout décompte au moins 73 différentes fonctionnalités à distance.

Lookout explique que deux variantes étaient présentes sur Google Play et souligne « Nous ne savons pas si elles ont été supprimées en conséquence directe de Google qui aurait pris des mesures ou si l’entité derrière SonicSpy les a supprimées afin d’échapper à la détection le plus longtemps possible. Les pages Cached Play Store de ces applications, Hulk Messenger et Troy Chat, confirment qu’elles étaient fonctionnelles et notre analyse a révélé qu’elles embarquent la même fonctionnalité que les autres échantillons SonicSpy ».

Certaines applications sont présentes sur les plateformes officielles, mais la grande majorité se situe sur des plateformes tierces ou encore sur des liens présents dans des articles. Le spyware une fois sur le terminal efface toutes traces de lui et réalise une connexion avec un serveur distant.

D’après les premiers éléments de l’enquête menée par Lookout, les hackers semblent se situer en Irak car de nombreuses traces font état de ce pays dans le code des applications malveillantes. Il semble que cela soit le même groupe de pirates qui avait créé le malware SpyNote l’an dernier.

📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.

Newsletter 🍋

Abonnez-vous, et recevez chaque matin un résumé de l’actu tech

2 commentaires
2 commentaires
    1. Celles qui ont été découvertes non, en revanche sur le reste des plateformes, il est fort probable que beaucoup n’ont pas pris la peine de faire le ménage… ou en cliquant sur des liens “télécharger” sur des sites web.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *