La recherche d'une ONG spécialisée dans la défense de la vie privée lève les voiles d'un malware entièrement italien conçu pour espionner et intercepter les utilisateurs d'Android
Il y a un virus Android fabriqué en Italie qui tourne sur le Play Store : son nom est Exodus et il est contenu dans une vingtaine d'apps infectées, qui ont déjà été téléchargées et utilisées par un millier de personnes. Il aurait été produit par la société eSurf, basée à Catanzaro, spécialisée dans les systèmes de surveillance et qui a déjà eu des contrats avec les forces de l'ordre italiennes par le passé.
C'est ce qui ressort d'un rapport de l'ONG Sécurité sans frontières, spécialisée dans les cyberattaques et la protection de la vie privée des militants des droits humains, politiques et sociaux, en collaboration avec le magazine Motherboard.
Ce que fait Exodus, le malware qui intercepte les Italiens
Le rapport approfondi de l'ONG montre que le principal objectif du malware Exodus est de collecter des informations sur l'utilisateur du smartphone infecté. Le code malveillant, en fait, peut rafler un peu de tout : une liste des applications installées, le son ambiant enregistré avec le microphone du téléphone, l'historique de navigation et les signets de Chrome et SBrowser (le navigateur des téléphones Samsung), les événements du calendrier, les journaux d'appels, l'enregistrement des appels téléphoniques, la prise de photos avec l'appareil photo, les informations sur les cellules du téléphone, l'extraction du carnet d'adresses, la liste des contacts Facebook, les journaux des conversations Messenger, Faites des captures d'écran de n'importe quelle application, extrayez les informations des images de Gallery, extrayez les informations de Gmail, les contacts et les messages de l'application Skype, récupérez tous les SMS et les messages ainsi que la clé de chiffrement de Telegram, les données de Viber Messenger et les journaux de WhatsApp, mais aussi les fichiers échangés avec WhatsApp, le mot de passe du réseau Wi-Fi auquel vous êtes connecté, les données de WeChat et même les coordonnées GPS de votre téléphone.
Quelles apps sont infectées par Exodus
Le malware Exodus a été inoculé dans au moins une vingtaine d'apps, toutes italiennes et en langue italienne, régulièrement mises en ligne sur le Play Store, dont les filtres n'ont pas détecté de menace pour l'utilisateur. D'après une première reconnaissance effectuée par Bufale.net, les dix applications suivantes sont définitivement infectées : Assistance en ligne, Offres spéciales, Offres de téléphone personnalisées, Services de téléphone premium, Offres pour vous, Réactiver l'assistance en ligne, Opérateur Italie, Offres promotionnelles, Assistance SIM et Offres de téléphone pour vous. Le virus fonctionne depuis au moins 2016, il est donc possible que d'autres apps infectées n'aient pas encore été découvertes. Google aurait déjà supprimé toutes les applis infectées de son Store.
Comment fonctionne le virus Exodus
L'infection par Exodus commence par le téléchargement et l'installation d'une des applis infectées. Le virus comporte deux étapes, appelées "Exodus 1" et "Exodus 2", dont la première a pour tâche de lire le code IMEI du téléphone mobile et de le communiquer au serveur Command & Control. Ce comportement laisserait penser qu'il s'agit d'un logiciel malveillant programmé pour espionner un nombre spécifique d'utilisateurs, un scénario compatible avec une interception policière.
Mais en fait, Sécurité sans frontières a découvert que même si l'IMEI envoyé est celui d'un téléphone mobile neuf, jetable, activé uniquement à des fins de test, Exodus est toujours activé en téléchargeant le deuxième paquet Exodus 2, qui contient le véritable virus qui commence à suivre notre comportement. Parmi les risques sérieux que pose Exodus, il y a le fait que, délibérément ou par une programmation incorrecte, il laisse plusieurs ports ouverts et rend le smartphone vulnérable à toute personne connectée au même réseau Wi-Fi et (peut-être) même à la même cellule d'opérateur mobile.
Pourquoi Exodus affecte-t-il aussi les utilisateurs normaux ?
Ces dernières heures, un débat houleux s'est ouvert autour de ce virus : s'il est vrai, comme tous les signes le suggèrent, qu'il s'agit d'un virus créé pour effectuer des écoutes environnementales approfondies, pourquoi a-t-il été injecté dans des applications téléchargeables gratuitement par tous depuis la boutique officielle de Google ? L'hypothèse la plus répandue est aussi la moins rassurante : il a été mis sur le Play Store pour pouvoir être testé avant d'être utilisé dans les enquêtes officielles. Ces dernières heures, le garant de la vie privée, Antonello Soro, s'est exprimé à ce sujet : "La nouvelle de l'interception de centaines de citoyens qui n'ont aucun lien avec des enquêtes judiciaires, en raison d'une simple erreur dans le fonctionnement d'un robinet informatique utilisé à des fins d'enquête, suscite une grande inquiétude et fera l'objet d'une enquête en bonne et due forme, également par le garant, dans le cadre de ses compétences.
Comment se défendre contre le virus Exodus
Si vous avez téléchargé l'une des applications infectées par le passé, il est presque certain que votre smartphone est infecté et qu'Exodus collecte une énorme quantité de données sur vous. Pour supprimer le virus, vous devez utiliser un bon programme antivirus qui est à jour avec la dernière version. Cependant, le problème est que l'existence de ce malware n'a été connue que récemment, il n'est donc pas certain que les logiciels antivirus les plus populaires soient capables de détecter Exodus.