Les utilisateurs se tournent souvent vers des mods tiers pour les applications de messagerie populaires afin d’y ajouter des fonctionnalités supplémentaires. Cependant, certains de ces mods peuvent également contenir des logiciels malveillants cachés. Kaspersky a identifié un nouveau mod WhatsApp qui ne comporte pas seulement de nouvelles fonctionnalités telles que des messages programmés et des options personnalisables, mais qui contient aussi un module malveillant de logiciel espion.
Le fichier manifeste du client WhatsApp modifié comprend des composants suspects (un service et un récepteur de diffusion) qui ne sont pas présents dans la version originale. Le récepteur déclenche un service qui lance le module d’espionnage lorsque le téléphone est allumé ou en cours de chargement. Une fois activé, l’implant malveillant envoie une requête contenant des informations sur l’appareil au serveur de l’attaquant. Ces données incluent l’IMEI, le numéro de téléphone, les codes de pays et de réseau, etc. Il transmet en outre à l’attaquant les contacts de la victime et les détails de son compte toutes les cinq minutes. Il est par ailleurs capable d’activer le microphone et d’exfiltrer des fichiers du stockage externe.
Le module malveillant s’est frayé un chemin à travers des canaux Telegram populaires, ciblant principalement les arabophones et les azéris, certains de ces groupes comptant près de deux millions d’abonnés. Les chercheurs de Kaspersky ont alerté Telegram à ce sujet. La télémétrie de Kaspersky a identifié plus de 340 000 attaques impliquant ce mod au cours du seul mois d’octobre. Cette menace est apparue relativement récemment, active depuis la mi-août 2023.

Exemples de canaux Telegram distribuant des mods malveillants
L’Azerbaïdjan, l’Arabie saoudite, le Yémen, la Turquie et l’Égypte ont enregistré les taux d’attaque les plus élevés. Si les utilisateurs arabophones et azerbaïdjanais semblent être les cibles privilégiées, le phénomène touche aussi des personnes originaires des États-Unis, de Russie, du Royaume-Uni, d’Allemagne et d’ailleurs.
Les produits Kaspersky détectent le cheval de Troie avec le verdict suivant : Trojan-Spy.AndroidOS.CanesSpy.
« Les gens font naturellement confiance aux applications provenant de sources très suivies, mais les agents malveillants savent exploiter cette confiance. La propagation de mods malveillants par le biais de plateformes tierces populaires souligne l’importance d’utiliser des logiciels de messagerie instantanée officiels. Toutefois, si vous avez besoin de fonctionnalités supplémentaires qui ne figurent pas dans le client d’origine, vous devriez envisager d’utiliser une solution de sécurité réputée avant d’installer un module tiers, car cela protégera vos données contre toute compromission. Pour une protection efficace de vos données personnelles, téléchargez toujours les applications à partir des magasins d’applications officiels ou des sites web officiels », commente Dmitry Kalinin, expert en sécurité chez Kaspersky.

Pour rester en sécurité, les experts de Kaspersky font les recommandations suivantes :
• Utilisez les places de marché officielles : téléchargez des applications et des logiciels à partir de sources officielles et réputées. Évitez les boutiques d’applications tierces, car le risque qu’elles hébergent des applications malveillantes ou compromises est plus élevé.
• Utilisez des logiciels de sécurité réputés : installez et maintenez à jour des logiciels antivirus éprouvés sur vos appareils. Analysez régulièrement vos appareils pour détecter les menaces potentielles et maintenez votre logiciel de sécurité à jour. Kaspersky Premium protège ses utilisateurs contre les menaces connues et inconnues.
• Renseignez-vous sur les escroqueries courantes : restez informé des dernières techniques et tactiques des cybercriminels. Méfiez-vous des demandes non sollicitées, des offres suspectes ou des demandes urgentes d’informations personnelles ou financières.
• Les logiciels tiers n’ont généralement aucune garantie concernant leur sécurité. Gardez à l’esprit que ces applications peuvent contenir des éléments malveillants, en raison par exemple d’attaques de la chaîne d’approvisionnement.