Plusieurs applications officiellement distribuées sur le Google Play Store diffusaient un spyware nord-coréen, capable de siphonner des SMS aux frappes clavier.

Un spyware Android lié à la Corée du Nord repéré sur le Google Play Store © Deemerwha studio / Shutterstock
Un spyware Android lié à la Corée du Nord repéré sur le Google Play Store © Deemerwha studio / Shutterstock

Le Play Store a de nouveau été utilisé comme vecteur d’infection. Cette fois, c’est un spyware Android, attribué des groupes APT nord-coréens, qui s’est glissé dans plusieurs applications avant d’être supprimé par Google. Derrière des outils de gestion de fichiers ou de sécurité apparemment fiables, le logiciel espion collectait à peu près tout ce qui lui passait sous la main, sans éveiller les soupçons des internautes… ni de Play Protect.

KoSpy, un aspirateur à données sensibles caché dans des applis fonctionnelles

Les équipes de Lookout Threat Lab ont identifié un logiciel espion baptisé KoSpy, actif depuis mars 2022 et toujours en circulation. Dissimulé derrière des applications mobiles en apparence anodines, il s’est infiltré sur le Google Play Store par le biais de cinq utilitaires aux noms génériques, dont trois en anglais – File Manager, Kakao Security et Software Update Utility – et deux en coréen. Pour parfaire l’illusion, ces applis fonctionnaient correctement, affichant interface et options attendues d’un gestionnaire de fichiers, d'un antivirus ou d’un module de mises à jour.

Une fois installé, KoSpy réclamait des permissions étendues sous prétexte d’assurer son bon fonctionnement. Derrière ces autorisations se cachait en fait un dispositif de surveillance avancé capable d’intercepter les SMS, l’historique des appels, la localisation GPS, les fichiers stockés sur l’appareil et d’accéder aux caméras et au micro pour enregistrer l’environnement de l’utilisateur. Il pouvait aussi prendre des captures d’écran, enregistrer les frappes clavier via les services d’accessibilité et récupérer la liste des applications installées. L’ensemble des données était ensuite chiffré avec une clé AES codée en dur avant d’être envoyé vers des serveurs C2 distants.

D’après les analyses de Lookout, KoSpy ne communique pas directement avec son serveur principal, mais s’appuie sur une infrastructure double. Au moment de son exécution, il récupère une configuration initiale depuis Firebase Firestore, service cloud légitime utilisé ici comme relais pour éviter une détection immédiate. Cette configuration contient un interrupteur "on/off" et l’adresse du serveur C2 chargé de collecter les données exfiltrées. Un système qui permet aux cybercriminels à l’œuvre d’activer ou désactiver le spyware à distance et de modifier les adresses C2 en cas de détection ou de blocage.

L’enquête a également révélé des liens entre KoSpy et des campagnes malveillantes attribuées à APT37 (ScarCruft), et APT43 (Kimsuki), deux groupes de cyberespionnage liés à la Corée du Nord et déjà impliqués dans des attaques ciblant des internautes en Corée du Sud.

Alertée avant la divulgation publique, Google a supprimé les applications concernées du Play Store et désactivé les projets Firebase associés. Mais le spyware ayant aussi circulé sur des stores alternatifs, pami lesquels Apkpure, il reste, encore aujourd’hui, diffusé via des canaux tiers.

Les applis vectrices de l'infection KoSpy fonctionnent tout à fait normalement pour ne pas éveiller les soupçons © Lookout Threat Lab
Les applis vectrices de l'infection KoSpy fonctionnent tout à fait normalement pour ne pas éveiller les soupçons © Lookout Threat Lab

Comment limiter les risques d’infection sur Android

La présence de logiciels espions sur le Google Play Store rappelle que même les plateformes officielles ne sont pas infaillibles. Malgré les contrôles de sécurité en place, certaines applications malveillantes parviennent encore à passer entre les mailles du filet.

Par conséquent, avant d’installer une application, prenez toujours le temps de vérifier l’identité de son éditeur et de lire les avis laissés par les autres utilisateurs et utilisatrices. Jetez aussi un œil au nombre de téléchargements. Un utilitaire inconnu, peu installé et sans site officiel ni historique de mises à jour, doit vous pousser à faire preuve de prudence.

Les permissions requises à l’installation doivent également éveiller vos soupçons. Un gestionnaire de fichiers n’a aucune raison d’accéder à vos SMS, à votre microphone ou à votre localisation. Si une application exige des autorisations qui dépassent son périmètre fonctionnel, mieux vaut passer votre chemin.

Comme toujours, mettez systématiquement à jour votre smartphone sans attendre. Android et Google Play Protect intègrent régulièrement des correctifs pour bloquer les menaces connues. Vous pouvez par ailleurs renforcer la sécurité de votre appareil avec un antivirus mobile, capable d'analyser les applications avant leur installation et détectera d’éventuels comportements suspects.

Enfin, évitez autant que possible les plateformes de téléchargement alternatives. Si le Play Store n’est pas infaillible, il reste bien plus sécurisé que bon nombre de stores tiers, dont les systèmes de contrôle sont nettement moins stricts et laissent plus facilement passer les malwares.

Source : Lookout Threat Lab

À découvrir
Meilleur antivirus, le comparatif en mars 2025

27 février 2025 à 09h45

Comparatifs services