vendredi, juillet 3, 2026
33.5 C
Tunisie

ESET Research dévoile deux spywares Android sophistiqués ciblant les utilisateurs de Signal et ToTok

Les équipes d’ESET Research ont découvert deux nouvelles familles de spywares Android, Android/Spy.ProSpy et Android/Spy.ToSpy. Ces malwares imitent Signal et ToTok pour infiltrer les appareils, collecter des données sensibles et exfiltrer des informations via des serveurs de commande (C&C) actifs.

Une double campagne d’espionnage à l’architecture complexe

Les chercheurs d’ESET Research ont identifié deux nouvelles familles de spywares Android : Android/Spy.ProSpy et Android/Spy.ToSpy. Ces menaces exploitent des techniques avancées de camouflage et d’ingénierie sociale pour se faire passer pour des applications de messagerie sécurisée telles que Signal et ToTok.

Derrière une apparence légitime, ces malwares dissimulent un code espion modulaire capable d’exfiltrer en continu des données depuis les smartphones infectés vers des serveurs de commande et de contrôle (C&C) encore actifs.

Les chercheurs ont constaté une forte concentration de détections aux Émirats arabes unis, où la distribution repose sur des faux stores Android et des sites de téléchargement usurpant l’identité de services officiels.

ProSpy : un faux “plugin” de chiffrement exploitant l’image de Signal

Détectée en juin 2025, la campagne Android/Spy.ProSpy se propage via trois domaines frauduleux conçus pour imiter les interfaces de Signal et de ToTok. Les fichiers APK malveillants y sont présentés sous forme d’extensions baptisées Signal Encryption Plugin et ToTok Pro, censées renforcer la sécurité des communications.

En réalité, ces APK contiennent un chargeur de code malveillant déclenchant plusieurs modules :

  • Module d’initialisation : collecte les métadonnées système, le modèle d’appareil, la version Android et l’IMEI.
  • Module de communication C&C : établit une connexion HTTPS chiffrée avec un serveur distant via un protocole personnalisé, contournant les solutions de détection classiques.
  • Module d’exfiltration : transfère périodiquement les SMS, contacts, fichiers multimédias, sauvegardes de discussions et documents.

Le choix d’un domaine se terminant par “.ae.net” témoigne d’un ciblage régional explicite, « AE » correspondant au code ISO du pays.

« Ces APK étaient uniquement accessibles via des sites tiers se faisant passer pour des services légitimes, dont une imitation fidèle du Samsung Galaxy Store », explique Lukáš Štefanko, chercheur senior en sécurité mobile chez ESET.

ToSpy : une architecture persistante et un protocole d’exfiltration masqué

La seconde campagne, Android/Spy.ToSpy, repérée par la télémétrie d’ESET en juin 2025, se concentre sur des utilisateurs situés aux Émirats arabes unis. Elle s’appuie sur quatre domaines frauduleux proposant une version contrefaite de ToTok.

ToSpy est doté d’une infrastructure de commande et de contrôle décentralisée, capable de rediriger les flux de données via plusieurs nœuds intermédiaires pour brouiller la traçabilité.

Son code comprend :

  • Un service Android persistant, relancé automatiquement après chaque redémarrage.
  • Des routines d’exfiltration séquencées, organisées par type de données (contacts, sauvegardes, médias).
  • Une communication chiffrée basée sur un tunnel HTTPS encapsulé dans une requête POST falsifiée, mimant des échanges applicatifs légitimes.

Les analyses suggèrent que la campagne ToSpy serait active depuis mi-2022, une longévité rare dans l’écosystème des spywares Android, indiquant une infrastructure durable et continuellement maintenue.

Une sophistication croissante des malwares Android

L’étude d’ESET souligne la montée en complexité des spywares Android, dont les mécanismes de persistance et de furtivité rivalisent désormais avec ceux des malwares de bureau.

ProSpy et ToSpy utilisent des techniques de dissimulation telles que :

  • L’obfuscation du code à l’aide de ProGuard et DexGuard ;
  • La désactivation de la vérification de signature dans le manifeste Android ;
  • Et la dynamisation du code via des bibliothèques chargées à la volée depuis des serveurs distants.

Ces stratégies permettent d’éviter la détection par les antivirus mobiles et de prolonger la durée de vie de la campagne.

Une opération d’espionnage régionalisée et hautement ciblée

Les indicateurs techniques — notamment les domaines, certificats SSL et adresses IP des serveurs C&C — pointent vers une infrastructure géographiquement concentrée aux Émirats arabes unis. Cette régionalisation démontre une planification avancée, orientée vers la collecte d’informations sur des individus ou entités locales, plutôt qu’une diffusion massive à l’échelle mondiale.

ESET qualifie cette approche de “cyberespionnage à empreinte locale”, un modèle où les attaquants exploitent la familiarité culturelle et linguistique pour accroître le taux d’infection.

Recommandations techniques et bonnes pratiques

ESET conseille de :

  • Limiter les installations d’APK aux stores officiels (Google Play, Galaxy Store).
  • Analyser les signatures et les autorisations des fichiers avant installation.
  • Bloquer le chargement de bibliothèques externes dynamiques via les outils MDM (Mobile Device Management).
  • Mettre à jour régulièrement Android et Google Play Protect pour bénéficier des dernières défenses comportementales.

« Ces campagnes illustrent la convergence entre ingénierie logicielle et manipulation sociale, désormais au cœur des cybermenaces mobiles », conclut Štefanko.

Pour aller plus loin

Une analyse technique complète du code, de la structure réseau et des indicateurs de compromission (IoC) est disponible sur WeLiveSecurity.com :
“De nouvelles campagnes de logiciels espions ciblent les utilisateurs Android soucieux de la confidentialité aux Émirats arabes unis.”

Articles Recents

ESET Research met à nu SprySOCKS for Windows : pilote noyau, détournement TCP et soupçon de bootkit UEFI

WIN_DRV intègre un pilote noyau capable de masquer ses connexions réseau et de détourner le trafic TCP vers un port caché, rendant sa détection quasi impossible depuis l'espace utilisateur.

Galaxy Ring 2 : Samsung mise sur le logiciel, la batterie silicium-carbone et une possible ouverture à iOS

Entre fusion des données biométriques, batterie silicium-carbone et litige de brevets avec Oura, le Galaxy Ring 2 se dessine comme une mise à jour avant tout logicielle, lancement attendu début 2027.

Pénurie de mémoire IA : Xiaomi, Oppo et Vivo réduisent leurs objectifs smartphones 2026 jusqu’à 30 %

Xiaomi ramène son objectif à 95 millions d'unités (−30 %). IDC anticipe −14 % sur l'ensemble des expéditions mondiales 2026. Samsung, SK Hynix et Micron ont réorienté leurs capacités vers l'IA, comprimant l'offre DRAM grand public jusqu'en 2027 au moins.

ESET Research : rôle technique dans la neutralisation des botnets Amadey et Stealc (MaaS)

Trois ans de suivi continu, des systèmes automatisés d'extraction d'artefacts et un partage structuré d'IoC : la contribution d'ESET au démantèlement d'Amadey et Stealc illustre le rôle pivot du renseignement sur les menaces dans les opérations de takedown coordonnées.

Galaxy Watch 9 et Ultra 2 : ce que les fuites techniques révèlent avant l’Unpacked de juillet

Snapdragon Wear Elite 3 nm, batterie 800 mAh sur l'Ultra 2, design anguleux : voici ce que les fuites révèlent sur les prochaines Galaxy Watch de Samsung.

Topics

ESET Research met à nu SprySOCKS for Windows : pilote noyau, détournement TCP et soupçon de bootkit UEFI

WIN_DRV intègre un pilote noyau capable de masquer ses connexions réseau et de détourner le trafic TCP vers un port caché, rendant sa détection quasi impossible depuis l'espace utilisateur.

Galaxy Ring 2 : Samsung mise sur le logiciel, la batterie silicium-carbone et une possible ouverture à iOS

Entre fusion des données biométriques, batterie silicium-carbone et litige de brevets avec Oura, le Galaxy Ring 2 se dessine comme une mise à jour avant tout logicielle, lancement attendu début 2027.

Pénurie de mémoire IA : Xiaomi, Oppo et Vivo réduisent leurs objectifs smartphones 2026 jusqu’à 30 %

Xiaomi ramène son objectif à 95 millions d'unités (−30 %). IDC anticipe −14 % sur l'ensemble des expéditions mondiales 2026. Samsung, SK Hynix et Micron ont réorienté leurs capacités vers l'IA, comprimant l'offre DRAM grand public jusqu'en 2027 au moins.

ESET Research : rôle technique dans la neutralisation des botnets Amadey et Stealc (MaaS)

Trois ans de suivi continu, des systèmes automatisés d'extraction d'artefacts et un partage structuré d'IoC : la contribution d'ESET au démantèlement d'Amadey et Stealc illustre le rôle pivot du renseignement sur les menaces dans les opérations de takedown coordonnées.

Galaxy Watch 9 et Ultra 2 : ce que les fuites techniques révèlent avant l’Unpacked de juillet

Snapdragon Wear Elite 3 nm, batterie 800 mAh sur l'Ultra 2, design anguleux : voici ce que les fuites révèlent sur les prochaines Galaxy Watch de Samsung.

Design computationnel chez Samsung : IA, jumeaux numériques et robots au service des wearables

Plus de 10 000 simulations IA, des centaines de millions de données anatomiques mondiales : voici comment Samsung a repensé le design des Galaxy Buds4 Series grâce au computational design.

ESET, seul Challenger du Magic Quadrant 2026 de Gartner

ESET est désigné seul Challenger du Magic Quadrant 2026 de Gartner pour la protection des terminaux. Une reconnaissance qui s’appuie sur 16 années de présence dans le rapport et sur la plateforme ESET PROTECT, axée prévention

ESET Research : la Chine espionne le Golfe et l’IA sud-coréenne

ESET Research documente l'expansion des campagnes d'espionnage chinoises vers le Venezuela, la Syrie et le Golfe, avec un ciblage marquant d'une entreprise sud-coréenne spécialisée en IA et robotique, liée à Made in China 2025.

Articles connexes

Catégories populaires