Attention à cette appli Android vérolée qui espionne ses utilisateurs
Attention si vous avez installé iRecorder sur votre smartphone Android ! Un chercheur en sécurité a découvert que cette appli était infectée par un malware qui écoute régulièrement les utilisateurs à leur insu. Très inquiétant…
L'histoire n'est pas banale. Elle est pourtant vraie. Et surtout inquiétante, car elle pourrait préfigurer une nouvelle génération de menaces informatique particulièrement insidieuses. Lukas Stefanko, un chercheur en sécurité travaillant ESET Research au sein de la Google App Defense Alliance, a découvert qu'une appli Android espionnait ses utilisateurs par le biais du micro de leur smartphone. Ennuyeux et dangereux, mais pas exceptionnel. Sauf que l'appli en question n'était pas du tout indiscrète à l'origine : comme l'expert l'explique dans son billet de blog publié le 23 mai 2023, elle a été vérolée après une mise à jour, en août 2022, bien après sa sortie initiale ! Et c'est cette mise à jour qui a discrètement introduit un malware d'espionnage dans les appareils !
iRecorder : une appli vérolée par une mise à jour
L'appli en question, c'est iRecorder. Un outil anodin bien utile qui permet d'enregistrer en vidéo ce qui s'affiche sur l'écran du smartphone. Pratique pour "filmer" des manipulations ou une partie de jeu, par exemple. Et s'il a fonctionné normalement pendant des mois, après sa sortie initiale en septembre 2021, elle a totalement – et discrètement – changé de comportement après une mise à jour durant l'été 2022. Et pour cause : la nouvelle version – numérotée 1.3.8 – a introduit un très dangereux malware. "Le code malveillant qui a été ajouté à la version propre d'iRecorder est basé sur le RAT Android AhMyth open source (cheval de Troie d'accès à distance) et a été personnalisé dans ce que nous avons nommé AhRat", explique le chercheur.
Or ce malware fait d'autant plus dégâts que l'application d'origine – inoffensive – avait demandé de nombreuses autorisations lors de son installation initiale. Des autorisations qui donnaient accès à de multiples informations, notamment à des fichiers personnels et au micro de l'appareil. Tel un espion dormant qui reste discret avant d'entrer en action, iRecord s'est ainsi réveillé en exfiltrant des données confidentielles mais aussi en écoutant ses utilisateurs grâce au microphone de leur smartphone ! Lukas Stefanko et ses collègues d'ESET ont ainsi découvert que l'application enregistrait une minute de son toute les quinze minutes, l'audio et les autres informations ainsi volées étant envoyés très discrètement vers de mystérieux serveurs. Effarant !
iRecorder : une minute de son enregistrée tous les quarts d'heure !
"Le comportement malveillant d'AhRat, qui comprend l'enregistrement audio à l'aide du microphone de l'appareil et le vol de fichiers avec des extensions spécifiques, pourrait indiquer qu'il faisait partie d'une campagne d'espionnage", précise le chercheur dans son billet de blog. "Nous n'avons pas encore trouvé de preuves concrètes qui nous permettraient d'attribuer cette activité à une campagne ou à un groupe de pirates particulier", regrette-il.
Bien évidemment, iRecorder a été retirée du Play Store dès que Google a été informé de la situation, et il y a plus de risque de télécharger cette application vérolée – qui a tout de même été installée par quelque 50 000 personnes dans le monde. On ignore toutefois l'étendue des dégâts chez les victimes, tout comme le dessein des hackers qui ont mis au point ce diabolique stratagème. Une chose est sûre : il faut toujours se méfier des applications qui réclament plus d'autorisations que nécessaire lors de leur installation. Et privilégier les applis reconnues et réputées sur les boutiques e ligne comme le Play Store – qui héberge régulièrement des applis vérolées, malgré les mesures de filtrage et de vérification prises par Google. mais le plus inquiétant dans cette étonnante histoire, c'est de voir qu'une appli à l'origine inoffensive peut se transformer en redoutable espion après une banale mise à jour. On peut craindre le pire si d'autres hackers utilisent cette pernicieuse méthode avec des applis populaires…