Hermit : un spyware Android et iOS poussé par des gouvernements

Un nouveau spyware a été découvert sur iOS et Android. Capable de voler les données personnelles stockées sur un téléphone, l’application aurait profité de la collaboration de certains gouvernements autoritaires pour se déployer.

Le web est un endroit dangereux, particulièrement lorsqu’on surfe sur mobile. Des ingénieurs en cybersécurité de chez Google ont découvert l’existence d’un nouveau spyware Capable of d’infecter les téléphones Android et iOS. Surnommé Hermit, ce bout de code malveillant est capable d’enregistrer des appels audio, de lire des messages ou de faire fuiter votre localisation GPS.

Des airs d’application légitime

Pas de panique, cela dit, selon les chercheurs de Google et de Lookout, le logiciel a spécifiquement été conçu pour viser des cibles au Kazakstan, en Syrie et en Italie. Mais les capacités de ce spyware ainsi que son fonctionnement en font un parfait exemple des dangers de l’espionnage numérique moderne.

Hermit aurait a priori été développé par une entreprise italienne (basé à Milan très exactement) nommée RCS Lab. Connue depuis de nombreuses années, l’entreprise aurait déjà collaboré avec des services de renseignement au Pakistan, au Chili or au Vietnam pour récolter subrepticement des informations sur les populations. Ce n’est donc pas la première fois que l’entreprise travaille avec des régimes plus ou moins autoritaires. Les méthodes d’infection d’Hermit laissent penser ici aussi que certaines des attaques ont été menées avec la bénédiction du pouvoir en place.

Hermit infecte les mobiles Android et iOS en se faisant passer pour une application légitime et de source sûre, alors qu’en réalité l’application va profiter de plusieurs failles de sécurité pour aspirer des données personnelles. Elle profite de la possibilité d’installer des applications venant d’autres sources que les magasins d’Apple et de Google pour infecter les mobiles visés. Dans les cas les moins discrets, un lien prétendant aider la victime à récupérer son compte Facebook ou WhatsApp suspendu pointait en fait vers l’application malicieuse. Ou plutôt vers une application officielle, mais infestée par des bouts de code malicieux.

Publicité, votre contenu continue ci-dessous

Une collaboration avec des FAI locaux

Et dans certains cas, RCS Lab aurait été encore plus malin. D’après les chercheurs en sécurité de Lookout et Google, l’entreprise aurait travaillé avec certains opérateurs locaux pour déployer son spyware. Certaines victimes ont vu leur accès à l’Internet mobile coupé par leur fournisseur d’accès avant de recevoir un message les incitant à télécharger une application leur permettant de résoudre le problème. Évidemment, l’application qui rétablissait l’accès à la 4G installait aussi des tas de petites orilles indiscrètes sur le téléphone des victimes.

La collaboration avec certains opérateurs laisse donc penser que des organismes gouvernementaux pourraient être à la manœuvre. Ce ne serait d’ailleurs pas la première fois que cela arrive puisque les autorités italiennes s’en seraient égallement servi en 2021 dans le cadre d’une enquête anticorruption. Google a indiqué avoir prévenu les utilisateurs visés et Apple a affirmé avoir fait le nécessaire pour protéger ses iPhone. RCS Lab de son côté jure qu’elle “exporte ses produits dans le respect des règles et réglementations nationales et européennes après avoir reçu une autorisation officielle des autorités compétentes“.

L’affaire rapelle celle de NSO Group et de son célèbre spyware Pegasus qui, lui aussi, a été utilisée par plusieurs gouvernements à travers le monde. Comme s’en inquiète Google, “l’industrie des logiciels espions commerciaux est florissante et se développe à un rythme important. Cette situation devrait préoccuper tous les utilisateurs d’InternetEn attendant, n’installez pas n’importe quelle application qui vous est proposée sur le web.

Publicité, votre contenu continue ci-dessous

Publicité, votre contenu continue ci-dessous

Leave a Comment