Points essentiels à retenir
- L’essor des versions modifiées non officielles de Signal et Telegram a attiré des cybercriminels. Ces derniers exploitent ces versions pour propager des logiciels malveillants et espionner des utilisateurs sans méfiance.
- Certains faux mods de Telegram, infectés par des logiciels espions, ont compromis les données privées des utilisateurs. Simultanément, de faux mods de Signal ont permis à des pirates d’accéder aux comptes Signal des victimes.
- Pour vous prémunir contre les fausses applications Signal et Telegram, il est essentiel de vérifier les développeurs, consulter les évaluations et avis, éviter les boutiques d’applications tierces, examiner les autorisations des applications et employer un logiciel de sécurité.
Signal et Telegram, parmi les applications de messagerie sécurisées les plus répandues mondialement, mettent l’accent sur la protection de la vie privée. Elles se distinguent par leur convivialité et leur richesse fonctionnelle.
Cependant, certains utilisateurs sont toujours en quête de plus. L’augmentation des mods non réglementés de Signal et Telegram, offrant des fonctionnalités supplémentaires, a séduit un public significatif. Les cybercriminels tirent profit de cette tendance pour diffuser des logiciels malveillants et entreprendre d’autres activités néfastes.
Que sont les mods d’applications ?
Les mods d’applications ne sont pas fondamentalement une mauvaise chose. Des passionnés de technologie, des développeurs indépendants et des fans modifient souvent des logiciels. Ils le font parce qu’ils estiment que la version standard de l’application manque de certaines fonctionnalités ou en intègre des inutiles qui nuisent à sa performance.
Certains éditeurs de logiciels désapprouvent cette pratique et s’efforcent de lutter contre les versions modifiées de leurs produits. D’autres, cependant, l’acceptent et encouragent même les développeurs à proposer leurs propres clients ou versions alternatives de l’application.
Comment les logiciels espions opèrent-ils dans les clones de Telegram et Signal ?
C’est là que les choses deviennent sombres. Les cybercriminels ont constaté l’existence d’un marché pour les mods d’applications et l’exploitent pour distribuer des logiciels malveillants. C’est ce qui est arrivé avec certains clones de Telegram, mis en lumière par la société de cybersécurité Kaspersky, qui a publié ses conclusions en septembre 2023. De son côté, ESET a révélé en août 2023 que des acteurs malveillants créaient également de faux mods de Signal afin d’espionner des utilisateurs sans méfiance.
De faux mods de Telegram ont fait leur apparition sur Google Play, sous forme d’applications en chinois traditionnel, ouïghour et chinois simplifié. Le développeur malveillant a mis en œuvre une approche convaincante en utilisant des images similaires à celles employées par Telegram sur ses chaînes officielles. Les descriptions des applications étaient rédigées dans les langues mentionnées. Le mod était présenté comme une version plus rapide et légère de Telegram.
En résumé, il apparaissait comme un mod tout à fait légitime, semblable à ceux que Telegram approuve et encourage les développeurs à créer. Toutefois, une différence notable existait : la fausse application Telegram possédait un code radicalement différent, autorisant ses concepteurs à espionner quiconque la téléchargeait et l’utilisait. Ceux qui ont commis l’erreur d’installer ce mod ont vu leurs contacts, messages, fichiers, noms et numéros de téléphone exposés. Ces données étaient envoyées au créateur de la menace à mesure que les utilisateurs utilisaient l’application.
Crédit image : Kaspersky
Concernant Signal, les acteurs malveillants ont employé une approche légèrement différente. Ils ont développé un mod appelé Signal Plus Messenger et créé un faux site web pour accroître leur crédibilité. Le logiciel malveillant présent dans le faux mod de Signal était plus dangereux que celui dans la fausse application Telegram, car il autorisait ses créateurs à se connecter au compte Signal de la victime.
Les deux types de mods peuvent être considérés comme des logiciels espions, un type de malware conçu pour collecter des informations sur la cible à son insu ou sans son consentement.
ESET et Kaspersky estiment qu’un même groupe de piratage, GREF, est à l’origine des deux mods, ainsi que de plusieurs autres applications malveillantes. Ce groupe aurait des liens avec le gouvernement chinois et diffuse généralement un code malveillant identifié sous le nom de BadBazaar.
Pourquoi ces applications Telegram et Signal contiennent-elles des logiciels espions ?
Pourquoi ces mods malveillants sont-ils distribués ? Selon le rapport d’ESET, l’une des principales raisons est l’espionnage des minorités ethniques en Chine.
Les fausses applications ont ensuite été retirées du Google Play Store et du Samsung Galaxy Store, mais le mal était déjà fait. Il est fort probable qu’elles ont été téléchargées par des milliers de personnes (à l’échelle mondiale, et pas uniquement en Chine) dont les informations privées ont été compromises et se trouvent vraisemblablement entre les mains du gouvernement chinois.
Certes, il existe d’autres fraudeurs qui diffusent des mods infectés par des logiciels espions, souvent pour des raisons financières. La question cruciale est de savoir comment ces applications malveillantes ont pu apparaître dans deux boutiques d’applications réputées ? Ces plateformes n’ont-elles pas des modérateurs dont le rôle est de repérer les codes malveillants ?
Un rapport de Google sur les tendances de juillet [PDF] propose une explication. Il suggère que ses chercheurs ont mis en évidence des acteurs malveillants qui contournent les contrôles de sécurité en utilisant le versioning. Concrètement, ils développent initialement des mods tout à fait légitimes, puis injectent des logiciels malveillants par le biais d’une mise à jour. Bien entendu, toutes les mises à jour doivent également être analysées par Google avant d’être approuvées, mais l’entreprise semble avoir des difficultés à éliminer les logiciels malveillants de son magasin d’applications.
Comment se prémunir contre les fausses applications Signal et Telegram ?
Le fait que ces mods de Signal et Telegram ne soient plus disponibles sur le Google Play Store et le Samsung Galaxy Store n’est pas très significatif, car il est fort probable qu’ils réapparaissent sous une forme ou une autre. Et même s’ils ne le font pas, d’autres faux mods prendront leur place.
Pour rester en sécurité, il est impératif de savoir faire la différence entre les applications authentiques et celles qui sont frauduleuses, entre les mods légitimes et ceux qui contiennent des logiciels malveillants.
1. Étudier le développeur
Avant de télécharger une application modifiée, il est nécessaire de se renseigner sur les personnes qui se cachent derrière. Sont-elles crédibles ? Qui sont-elles ? Leurs actions sont-elles approuvées par le développeur d’origine ?
2. Consulter les évaluations et les avis
Il est toujours judicieux de vérifier ce que disent les autres et de consulter les notes et les avis. Ce n’est pas une approche infaillible, mais elle peut vous aider à évaluer la sécurité d’un mod que vous envisagez de télécharger.
3. Éviter les boutiques d’applications tierces
En général, il est préférable de ne pas télécharger de logiciels à partir de boutiques d’applications tierces ou de sites Web aléatoires. Le Google Play Store peut présenter quelques problèmes, mais il offre des protections et est une option beaucoup plus sûre. Cela dit, certains sites réputés permettent de télécharger des APK en toute sécurité.
4. Vérifier les autorisations de l’application
Des applications comme Signal et Telegram mettent l’accent sur la confidentialité et ne demanderont jamais d’autorisations inhabituelles. Toutefois, une application modifiée malveillante pourrait le faire. Pour vérifier si une application suspecte exige des autorisations inhabituelles, allez dans Paramètres > Applications, localisez l’application concernée et appuyez dessus. Vous pouvez également appuyer longuement sur l’application sur votre écran d’accueil et sélectionner Informations sur l’application > Autorisations. Les noms de menus et les procédures peuvent varier légèrement en raison des différences de fonctionnement d’Android sur différents appareils, mais le principe sera similaire.
5. Utiliser un logiciel de sécurité
Même si vous commettez l’erreur de télécharger un mod d’application infecté par un logiciel espion, un logiciel de sécurité pourrait vous protéger. Il existe plusieurs applications antivirus gratuites pour Android qui peuvent vous être utiles.
Soyez prudent avec les applications modifiées
Les applications modifiées offrent aux utilisateurs de nouvelles façons de découvrir les logiciels, mais elles peuvent également présenter des risques pour la sécurité. Cela ne signifie pas qu’il faille éviter complètement les versions modifiées des applications populaires, mais il est important de prendre des précautions supplémentaires.
Signal et Telegram ont une longueur d’avance sur les autres applications de messagerie en matière de sécurité et de confidentialité. Pour la plupart des utilisateurs, elles sont déjà très performantes telles quelles.