© Artem Oleshko / Shutterstock
© Artem Oleshko / Shutterstock

Un groupe de pirates s'est fondé sur le code open source de la messagerie Telegram pour créer de toutes pièces une application nommée « Shagle », infectée par un spyware.

Encore plus trompeur, la plateforme Shagle existe réellement. Très connue dans le domaine du tchat vidéo aléatoire, elle n'a en principe rien de malveillant.

Pas d'application Shagle officielle

Un site web peut en cacher un autre (contrefait). Et c'est justement la spécialité du groupe de cybercriminels StrongPity. Les chercheurs de la société ESET, spécialisée dans les solutions de sécurité et éditrice d'antivirus, ont révélé la tromperie et suspectent le groupe d'être à l'origine de cet énième hack.

Ici, tout a commencé par une page web en ligne depuis fin 2021, imitant à la perfection la page d'accueil de Shagle. À quelques différences près. Outre l'adresse web différente de celle d'origine, on y trouvait un bouton invitant à télécharger l'application Android du même nom. Problème : Shagle ne dispose pas d'une application mobile officielle. Le service ne repose que sur son site web qui fait office d'interface entre les utilisateurs qui souhaitent discuter. C'est là qu'a commencé la spirale infernale pour un certain nombre d'entre eux.

Plusieurs types de données collectées

D'après les experts d'ESET, une fois l'application (peu fonctionnelle) installée, ses « onze modules [ont pu déclencher] l'enregistrement des appels téléphoniques, la collecte des journaux d'appels, des messages SMS, des listes de contacts, et bien plus encore » directement dans le répertoire de l'application. Aussi, les utilisateurs qui ont accordé à la fausse application Shagle des permissions d'accès aux notifications et aux services d'accessibilité ont exposé leurs téléphones à d'autres méfaits. Parmi eux, « l'accès aux notifications entrantes d'applications telles que Viber, Skype, Gmail, Messenger et Tinder » ou « l'exfiltration des communications », détaille ESET.

La liste des modules utilisés par la backdoor © Welivesecurity (ESET)
La liste des modules utilisés par la backdoor © Welivesecurity (ESET)

Reste à savoir comment les victimes ont eu accès au faux site Shagle. Il y a fort à parier qu'elles ont été « très ciblées », explique ESET, probablement par des e-mails ou messages de phishing sur les réseaux sociaux. Selon l'entreprise de sécurité, ses systèmes n'ont pas encore été en mesure d'identifier ces victimes.

La fausse application Shagle n'a jamais été publiée sur le Play Store de Google, réduisant de façon sensible son périmètre d'action. Étant fondée sur le code source et les packages de Telegram, il est également impossible qu'elle ait pu être installée sur des terminaux déjà dotés de cette messagerie dans sa version officielle.

D'après les chercheurs d'ESET, la fausse application n'est plus disponible au téléchargement, « mais les pirates peuvent décider de mettre en ligne une version actualisée à tout moment ».

  • Fonctions sociales
  • Nombreuses options de personnalisation
  • Les appels vidéo à 30 intervenants
8 / 10