« Des capacités qui rappellent un film d'espionnage », ainsi Kaspersky décrit-il un cheval de Troie trouvé sur des smartphones Android utilisés, a priori, uniquement en Italie. L'éditeur russe, spécialisé dans les logiciels anti-virus, a baptisé sa découverte Skygofree, en écho à l'un des noms de domaines utilisés par les auteurs de ce spyware.
L'énumération de ses possibilités dessine un logiciel aux multiples talents, qui s'est musclé avec le temps [détails plus techniques]. Kaspersky l'a découvert en octobre dernier mais il fait remonter sa genèse à la fin 2014, avec une évolution progressive de ses capacités. « L'un des spywares les plus puissants que nous ayons jamais vu sur cette plateforme » écrit l'éditeur, un brin admiratif.
Parmi ses nombreuses facultés, il y a celle de pouvoir déclencher un enregistrement audio par le micro dès lors que le téléphone se trouve à un emplacement géographique particulier. On voit tout de suite le bénéfice que l'on peut retirer d'un tel système d'écoute discret que la victime va emmener partout sur elle.
Ensuite, la désactivation de la connexion Wi-Fi n'empêche pas le logiciel de se connecter à un point d'accès mis en place par ses auteurs, afin de garder un contact avec l'appareil et tenter d'en intercepter les données.
Le basculement en mode veille ne le gêne pas davantage, poursuit Kaspersky qui a constaté une utilisation futée d'une spécificité des téléphones Huawei :
La dernière version d’Android peut arrêter automatiquement les processus inactifs pour économiser la batterie, mais Skygofree est capable de contourner cette fonctionnalité en envoyant périodiquement des notifications système. Et sur les smartphones conçus par l’un des grands noms de la technologie, où toutes les applications sauf les favorites, sont arrêtées lorsque l’écran est éteint, Skygofree s’ajoute automatiquement à la liste des favoris.
Les services d'accessibilité d'Android pour les utilisateurs malvoyants ou malentendants sont également mis à profit pour lire et récupérer le texte échangé dans les messageries, en particulier WhatsApp. Le logiciel obtient les droits d'accès à ces services système — qu'un utilisateur qui n'en a pas l'utilité rejettera — en déguisant la demande pour la faire passer pour autre chose de plus anodin.
La liste ne s'arrête pas là, cette boite à outils peut forcer la caméra frontale à prendre une photo dès que l'utilisateur déverrouille son téléphone ; intercepter des SMS ou bien des saisies dans l'application de calendrier, etc.
S'agissant de son mode de distribution, Kaspersky parle de faux sites d'opérateurs mobiles, comme celui de Vodafone, où le visiteur est invité à télécharger une mise à jour supposée accélérer sa connexion internet. Pendant l'installation, le logiciel récupère les outils dont il a besoin, apparemment il peut le faire de manière granulaire en fonction des besoins de ses concepteurs.
Kaspersky déclare n'avoir détecté d'activité de Skygofree qu'en Italie, ce qui n'exclut pas pour autant une utilisation ailleurs dans le monde. Ses conseils pour s'en prévenir oscillent entre le bon sens et l'incitation commerciale : ne pas télécharger des logiciels n'importe où ; se méfier des invitations à récupérer une mise à jour ou un logiciel et dont la forme présente des éléments suspects ; ne pas valider à la légère les autorisations d'accès réclamées par les logiciels à leur lancement… et s'équiper de son anti-virus pour Android.
Source : Kaspersky
