Début septembre des chercheurs de ESET Research viennent de découvrir une opération de cyberespionnage chinoise. Des pirates informatiques du groupe GREF, lié à la Chine, ont publié des applications en ligne sur le Google Play Store et le Samsung Galaxy Store, se faisant passer pour des versions des services de messagerie Signal et Telegram, mais cachant en réalité des logiciels espions : «Signal Plus Messenger» et «Flygram», révèle Magazine économique américain Forbes. Si Google les a déjà supprimés, Samsung semble beaucoup moins pressé.

«Nous sommes heureux que le Play Store ait supprimé de sa plateforme ce malware malveillant se faisant passer pour Signal. Nous sommes profondément préoccupés par tous ceux qui ont téléchargé cette application. Nous exhortons Samsung à agir rapidement pour supprimer ce malware», a déclaré Meredith Whittaker, présidente de la Signal Foundation, qui développe l’application de messagerie cryptée.

Dans sa version normale, Signal permet à l'utilisateur de connecter la messagerie à son ordinateur ou sa tablette afin de pouvoir l'utiliser depuis ces appareils. "Signal Plus Messenger" utilise cette fonctionnalité pour relier l'application Signal de la cible au compte Signal de l'attaquant, permettant à l'attaquant de lire tous les messages envoyés et reçus par la cible sur Signal, explique Lukáš Stefanko, chercheur ESET et expert en logiciels malveillants.

Tout cela se passe "sans que l'utilisateur ne s'aperçoive de rien ni ne reçoive aucune notification, tout se passe en silence", prévient le chercheur. Ce serait le premier cas documenté d’espionnage de Signal via une "connexion automatique" secrète. Cela représente également un effort sans précédent de la part d’un groupe de pirates informatiques chinois pour pirater Signal. "Signal Plus Messenger" a été téléchargé près de 500 fois uniquement sur Google Play, ce qui semble indiquer qu'il ciblait des personnes spécifiques.

Le code utilisé dans cette opération de cyberespionnage était déjà apparu dans une autre application malveillante : "Flygram", qui était une version des messages Telegram et était également disponible dans les stores Google et Samsung. Selon Lukas Stefanek, le lien pour télécharger cette application a été distribué principalement dans le groupe Telegram visité par les Ouïghours, malheureusement avec plus de succès.

"Flygram pouvait accéder aux sauvegardes de Telegram si l'utilisateur activait une certaine fonctionnalité du malware. Au moins 13 953 comptes d'utilisateurs l'ont activé", déplore le chercheur. Si c’est aux internautes d’être prudents, les géants du numérique comme Samsung doivent aussi prendre leurs responsabilités pour supprimer de leurs plateformes ce logiciel corrompu.