Comment des hackers nord-coréens ont-ils réussi à infiltrer des logiciels espions sur le Google Play Store, ce géant de la distribution d’applications Android réputé pour sa sécurité? Selon le rapport de la firme de cybersécurité Lookout, une nouvelle campagne d’espionnage utilisant des logiciels espions appelés KoSpy a été directement liée au gouvernement nord-coréen. Ces applications ont été téléchargées par quelques utilisateurs non avertis, mais leur principale cible reste floue. Qui sont ces victimes présumées?
Le rapport, partagé en exclusivité avec TechCrunch, dévoile l’intrigante découverte de ces applications sournoises. Bien que disponible sur Google Play, la portée de ces logiciels espions semblait limitée, avec seulement une dizaine de téléchargements recensés. Pourtant, ces applications, masquées sous des apparences inoffensives, avaient des capacités étendues de collecte de données: SMS, appels, localisation de l’appareil, et même les informations des réseaux Wi-Fi. Pourquoi ces informations sont-elles si précieuses pour le régime nord-coréen?
L’intérêt principal de cette opération semble être l’espionnage, si l’on en croit l’analyse des fonctionnalités des applications par Lookout. Les hackers nord-coréens, déjà renommés pour leurs braquages de crypto-monnaies, notamment le récent vol de 1,4 milliard de dollars sur la plateforme Bybit, semblent élargir leurs horizons vers une surveillance ciblée. Cette campagne n’est-elle qu’un avant-goût d’opérations plus vastes?
Est-ce une nouvelle ère d’espionnage digital menée discrètement depuis Pyongyang?
Malgré le retrait rapide des applications de Google Play et la désactivation des projets Firebase associés, la question demeure: comment ces applications ont-elles pu franchir les barrières de sécurité initiales? Google a assuré que ses services protègent automatiquement les utilisateurs contre ce type de menaces connues, mais comment garantir qu’aucun logiciel similaire ne refasse surface?
La cible de cette surveillance reste imprécise. Les enquêteurs de Lookout, Christoph Hebeisen et Alemdar Islamoglu, soupçonnent que ces attaques visaient des individus en Corée du Sud, anglophones ou coréenophones, selon les langues présentes dans les interfaces des applications et les noms des domaines utilisés. Est-ce le signe d’une attaque géopolitique dissimulée? Que révèlent réellement ces indices linguistiques sur les intentions des hackers?
Google comme APKPure, où d’autres versions des logiciels espions ont été découvertes, restent globalement évasifs sur leur rôle et la manière dont ces applications ont échappé à leur contrôle initial. La responsabilité des plateformes de distribution d’applications dans la sécurité des utilisateurs est-elle suffisante? Et surtout, jusqu’à quel point peut-on encore faire confiance à des plateformes pouvant devenir des passerelles pour des cyberattaques?
Source : Techcrunch
