Les enquêteurs de Check Point Technologies ont révélé que les pirates informatiques en relation avec le gouvernement égyptien se servent du Play Store de Google pour propager une application d’espionnage et traquer les opposants au régime en place, rapporte Ars Technica.
Cette application s’appelle IndexY et elle se présente comme un moyen de trouver les détails concernant les numéros de téléphone en se basant sur une base de données contenant plus de 160 millions de numéros arabes.
Toutefois, l’une des autorisations requises était l’accès à l’historique des appels et aux contacts de l’utilisateur. Malgré la sensibilité de ces informations, cette requête était compréhensible étant donné que l’application se base sur les numéros de téléphone. IndexY a été téléchargé environ 5.000 fois avant que Google ne se décide à l’enlever de son Play Store en août dernier.
Cette analyse prenait notamment compte du nombre d’utilisateurs par pays, des détails du journal d’appel de l’utilisateur et de la liste des appels passés d’un pays à un autre.
Les pirates ont réussi à introduire leur application espion dans le Play Store
En mars 2019, Amnesty International a décidé d’enquêter pour la première fois sur la campagne de surveillance menée par les dirigeants égyptiens sur leurs citoyens. Apparemment, ils visaient les personnes qui s’étaient mises en opposition face au gouvernement en place.
IndexY était l’un de leurs outils, si bien que Google avait averti certains de ses utilisateurs que des « assaillants soutenus par le gouvernement tentaient de voler leur mot de passe ».
Lotem Finkelshtein, responsable du groupe de renseignement sur les menaces de CheckPoint a déclaré que ces pirates ont pu passer entre les mailles de surveillance de Google. En accédant au Play Store, ils conféraient une certaine crédibilité à leur application espion.
Selon Finkelshtein, si IndexY a réussi à s’infiltrer dans le Play Store, c’est parce que lors de la validation de l’application par Google, l’analyse et l’inspection des données se sont faites sur le serveur désigné par l’attaquant et non sur un téléphone déjà infecté.
IndexY n’est que l’un des outils d’espionnage de l’Égypte
IndexY n’est que l’une des trois applications malveillantes découvertes par CheckPoint et liées à la campagne de surveillance de l’Égypte. La deuxième application, appelée iLoud 200%, servait à collecter des données de localisation dès son installation. Quant à la troisième application, nommée v1.apk, elle a été soumise au service de détection de logiciels malveillants VirusTotal de Google en février et semblait communiquer avec le domaine drivebackup.co qui semble être à une phase de test.
Selon Amnesty International, la campagne a également utilisé des applications tierces connectées à des comptes Gmail et Outlook pour voler des messages même quand les comptes ciblés sont protégés par une authentification à deux facteurs. Ces applications tierces enverraient également des liens malveillants dans des messages de phishing et des spams.
Dans son rapport, Checkpoint déclare que « dans le prolongement de l’enquête menée initialement par Amnesty International, nous avons révélé de nouveaux aspects de l’attaque perpétrée depuis au moins 2018 dans la société civile égyptienne (…) il est clair que les assaillants proposent constamment des méthodes créatives et polyvalentes pour atteindre les victimes, espionner leurs comptes et surveiller leurs activités ».
En tout cas, ces incidents révèlent que le système de surveillance de Google est encore loin d’être parfait. Il ne manque pourtant pas de zèle quand il s’agit de révéler les attaques touchant les autres plateformes, comme Apple, par exemple.