Un autre fabricant de logiciels espions du gouvernement a été arrêté après que ses clients ont utilisé de fausses applications Android pour installer son logiciel de surveillance sur des cibles, selon un nouveau rapport.
Jeudi, l’Osservatorio Nessuno, une organisation italienne de défense des droits numériques qui étudie les logiciels espions, a publié un rapport sur un nouveau malware appelé Morpheus. Le logiciel espion, qui se fait passer pour une application de mise à jour de téléphone, est capable de voler un large éventail de données sur l’appareil d’une cible.
Les conclusions des chercheurs montrent que la demande en logiciels espions de la part des forces de l’ordre et des services de renseignement est si élevée qu’un grand nombre d’entreprises proposent cette technologie, dont certaines opèrent en dehors des projecteurs du public.
Dans cette affaire, l’Osservatorio Nessuno a conclu que le logiciel espion est lié à IPS, une société italienne qui opère depuis plus de 30 ans en fournissant une technologie traditionnelle d’interception dite légale, c’est-à-dire des outils utilisés par les gouvernements pour capturer les communications en temps réel d’une personne qui transitent par les réseaux des fournisseurs de téléphonie et d’accès Internet.
Selon le site Internet d’IPS, la société opère dans plus de 20 pays, même si cela ne fait probablement pas référence à son logiciel espion, qui jusqu’à aujourd’hui était un secret. L’entreprise compte parmi ses clients plusieurs forces de police italiennes.
IPS n’a pas répondu à la demande de commentaires de TechCrunch sur le rapport.
Contactez-nous
Avez-vous plus d’informations sur IPS? Ou d’autres créateurs de logiciels espions ? Depuis un appareil non professionnel, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Telegram et Keybase @lorenzofb, ou par e-mail.
Les chercheurs ont qualifié le logiciel espion Morpheus de « faible coût » car il repose sur un mécanisme d’infection rudimentaire consistant à inciter les cibles à installer elles-mêmes le logiciel espion.
Des fabricants de logiciels espions gouvernementaux plus avancés, tels que NSO Group et Paragon Solutions, permettent à leurs clients gouvernementaux d’infecter leurs cibles avec des techniques invisibles, connues sous le nom d’attaques sans clic, qui installent le logiciel malveillant de manière totalement furtive et invisible en exploitant des vulnérabilités coûteuses et difficiles à trouver qui traversent les défenses de sécurité d’un appareil.
Dans ce cas, les chercheurs ont déclaré que les autorités avaient bénéficié de l’aide du fournisseur de téléphonie mobile de la cible, qui avait commencé à bloquer délibérément les données mobiles de la cible. À ce stade, le fournisseur de télécommunications a envoyé à la cible un SMS, l’invitant à installer une application censée l’aider à mettre à jour le téléphone et à retrouver l’accès aux données cellulaires. Il s’agit d’une stratégie qui a été bien documentée dans d’autres affaires impliquant d’autres fabricants italiens de logiciels espions.
Une fois le logiciel espion installé, il a abusé des fonctionnalités d’accessibilité intégrées d’Android, qui permettent au logiciel espion de lire les données sur l’écran de la victime et d’interagir avec d’autres applications. Le malware a été conçu pour accéder à toutes sortes d’informations sur l’appareil, selon les chercheurs.
Le logiciel espion a ensuite déclenché une fausse mise à jour, a montré à la cible un écran de redémarrage et a finalement usurpé l’application WhatsApp en demandant à la cible de fournir ses données biométriques pour prouver qu’il s’agissait bien d’elle. À l’insu de la cible, la robinetterie biométrique a accordé au logiciel espion un accès complet à son compte WhatsApp en ajoutant un appareil au compte. Il s’agit d’une stratégie connue utilisée par les pirates informatiques du gouvernement en Ukraine, ainsi que lors d’une récente campagne d’espionnage en Italie.
Une ancienne entreprise avec un nouveau logiciel espion
Les chercheurs de l’Osservatorio Nessuno, qui ont demandé à être référencés uniquement par leurs prénoms, Davide et Giulio, ont conclu que le logiciel espion appartenait à IPS, en se basant sur l’infrastructure du logiciel espion.
En particulier, l’une des adresses IP utilisées dans la campagne a été enregistrée auprès de « IPS Intelligence Public Security ».
Les deux hommes ont également trouvé plusieurs fragments de code contenant des phrases en italien – quelque chose qui est apparemment devenu une tradition dans l’industrie italienne des logiciels espions. Le code du malware comprenait des mots en italien, notamment des références à Gomorra, le célèbre livre et émission télévisée sur la mafia napolitaine, et « spaghetti ».
Davide et Giulio ont déclaré à TechCrunch qu’ils ne pouvaient pas fournir de détails sur l’identité de la cible, mais ils ont déclaré qu’ils pensaient que l’attaque était « liée à l’activisme politique » en Italie, un monde où « ce type d’attaques ciblées est très courant de nos jours ».
Un chercheur d’une entreprise de cybersécurité a déclaré à TechCrunch que son entreprise surveillait ce malware spécifique. Après avoir examiné le rapport de l’Osservatorio Nessuno, le chercheur a déclaré que le malware était définitivement développé par un fabricant italien de technologies de surveillance.
IPS est le dernier d’une longue liste de fabricants italiens de logiciels espions qui ont comblé le vide laissé par la société italienne Hacking Team, disparue depuis longtemps, l’un des premiers fabricants de logiciels espions au monde. L’entreprise contrôlait une grande part du marché local, outre ses ventes à l’étranger, avant d’être piratée, puis revendue et renommée. Ces dernières années, des chercheurs ont dénoncé publiquement plusieurs créateurs italiens de logiciels espions, notamment CY4GATE, eSurv, GR Sistemi, Movia, Negg, Raxir, RCS Lab et, plus récemment, SIO.
Plus tôt ce mois-ci, WhatsApp a informé environ 200 utilisateurs qui avaient installé une fausse version de l’application, qui était en réalité un logiciel espion créé par SIO. En 2021, les procureurs italiens ont suspendu leur utilisation des logiciels espions CY4GATE et SIO en raison de graves dysfonctionnements.
Lorsque vous achetez via des liens dans nos articles, nous pouvons gagner une petite commission. Cela n’affecte pas notre indépendance éditoriale.
