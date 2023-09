Résumé : Plusieurs versions infectées par des logiciels espions des applications de messagerie populaires Telegram et Signal ont été découvertes sur le Google Play Store. Les chercheurs en cybersécurité de Kaspersky ont identifié ces applications malveillantes, appelées « Evil Telegram », qui incitent les utilisateurs à les télécharger en se faisant passer pour des homologues légitimes. Les fausses applications ont des interfaces et des fonctionnalités similaires, ce qui rend difficile de les différencier des vraies. Une fois installées, les applications infectées collectent des informations sensibles sur les appareils Android compromis, notamment les noms, identifiants d'utilisateur, contacts, numéros de téléphone et messages de discussion. Les données volées sont ensuite envoyées au serveur des attaquants. Les applications infectées par des logiciels espions étaient déguisées en versions ouïghoure, chinoise simplifiée et chinoise traditionnelle de Telegram. Pour convaincre davantage les utilisateurs, les développeurs ont affirmé que ces fausses applications fonctionnaient plus rapidement via un réseau distribué de centres de données dans le monde entier. Malgré leur nature trompeuse, les applications infectées ont accumulé des millions de téléchargements avant d’être supprimées par Google.

Pour cibler les utilisateurs Android sans méfiance, les fraudeurs ont profité de la popularité de Telegram et Signal, deux alternatives importantes à WhatsApp, propriété de Meta. Bien qu’elles ne soient pas aussi célèbres, ces plateformes de messagerie disposent d’une base d’utilisateurs importante. Cependant, leur relative obscurité par rapport à WhatsApp les a rendus vulnérables aux acteurs malveillants cherchant à exploiter leur popularité croissante.

Les applications infectées par des logiciels espions ont été intelligemment déguisées en versions légitimes de Telegram. Ils ont imité fidèlement l'application officielle, avec des éléments d'interface et des fonctionnalités correspondants. Les copies malveillantes incluaient même des descriptions d’applications dans la langue prévue et des images similaires à celles de la page officielle de Telegram. Les utilisateurs ont été incités à croire qu'ils téléchargeaient la véritable application Telegram pour ensuite être victimes des mécanismes de collecte de données du logiciel espion.

Après enquête, les chercheurs en cybersécurité ont découvert que les applications infectées étaient en réalité des versions modifiées des applications authentiques. La principale différence réside dans l'inclusion d'un module supplémentaire dans le code, conçu pour surveiller l'activité des utilisateurs dans la messagerie. Ces données étaient ensuite envoyées au serveur de commande et de contrôle exploité par les créateurs du logiciel espion. Malheureusement, le module supplémentaire a réussi à échapper à la détection par les modérateurs de Google Play, permettant ainsi aux applications malveillantes d'être téléchargées et utilisées par des millions d'utilisateurs d'Android.

Pour éviter d’être victime de telles escroqueries, il est essentiel de télécharger uniquement des applications provenant de sources fiables et de vérifier soigneusement leur authenticité. Le Google Play Store et les autres marchés d'applications doivent surveiller en permanence les applications potentiellement infectées par des logiciels espions afin de garantir la sécurité de leurs utilisateurs.

