Google annonce la découverte Tizi, un logiciel espion utilisé pour voler des données sensibles

**Olivier Famien** · 29/11/2017, 08h27

Google annonce la découverte Tizi, un logiciel espion utilisé pour voler des données sensibles
dans les applications de réseaux sociaux sur les appareils Android

À l’heure actuelle où les informations constituent une denrée convoitée, les acteurs malveillants n’hésitent pas à cibler les appareils mobiles dont le taux d’adoption est de plus en plus croissant dans le monde. Il y a quelques jours, Google a publié un rapport sur une nouvelle famille de malwares découverte qu'elle a nommée Tizi. Ce groupe d’applications malveillantes est en fait « une porte dérobée complète qui installe des logiciels espions afin de voler des données sensibles dans les applications de médias sociaux populaires ».

C’est en septembre dernier que l’équipe de Google Play Protect a découvert cette famille de logiciels malveillants lorsque les analyses d’appareils avec Google Play Protect ont détecté une application dotée de fonctionnalités capables de « rooter » les appareils Android en exploitant d’anciennes failles. Après avoir approfondi les recherches, l’équipe de sécurité de Google s’est rendu compte que le malware dissimulé au sein d’applications serait intégré à certaines applications disponibles sur Google Play Store depuis 2015 et aurait été utilisé pour cibler des appareils localisés majoritairement au Kenya, et dans une proportion plus faible au Nigéria, en Tanzanie, aux États-Unis et dans d’autres régions du globe. En tout, environ 1300 appareils ont été infectés par les applications Tizi, rapporte Google.

Nom : Tizi2.png
Affichages : 2416
Taille : 32,9 Ko

Liste des pays affectés par les applications Tizi

Selon les données collectées par l’équipe de sécurité de Google, les acteurs malveillants auraient utilisé le malware pour voler des informations sensibles « à partir des applications de médias sociaux populaires comme Facebook, Twitter, WhatsApp, Viber, Skype, LinkedIn et Telegram ». Pour faciliter l’infection des appareils, les pirates auraient également créé des sites web et utilisé les réseaux sociaux pour amener les utilisateurs à télécharger et installer plus d’applications infectées à partir de Google Pay Store et d’autres sites tiers.

Lorsqu’une application Tizi est installée sur un appareil, elle contacte dans un premier temps « des serveurs de commande et de contrôle en envoyant à un numéro spécifique un SMS avec les coordonnées GPS de l’appareil. Les communications de commande et de contrôle ultérieures sont normalement effectuées par HTTPS standard, bien que dans certaines versions spécifiques, Tizi utilise le protocole de messagerie MQTT avec un serveur personnalisé. »

À partir de cette porte dérobée, les auteurs de ce malware peuvent accéder aux informations sensibles des utilisateurs en utilisant les fonctionnalités du malware, « telles que l’enregistrement des appels de WhatsApp, Viber et Skype ; l’envoi et la réception de messages SMS ; et l’accès aux événements du calendrier, au journal des appels, aux contacts, aux photos, aux clés de cryptage Wi-Fi et à la liste de toutes les applications installées. Les applications Tizi peuvent également enregistrer de l’audio ambiant et prendre des photos sans afficher l’image sur l’écran de l’appareil », souligne Google.

Tizi, qui peut par ailleurs rooter les appareils sur lesquels il est installé, exploite pour ce faire des vulnérabilités liées aux chipsets, aux appareils et aux anciennes versions d’Android et référencées comme suit : CVE-2012-4220, CVE-2013-2596, CVE-2013-2597, CVE-2013-2595, CVE-2013-2094, CVE-2013-6282, CVE-2014-3153, CVE-2015-3636, CVE-2015-1805.

En outre, lorsqu’une application Tizi n’est pas en mesure de prendre le contrôle d’un périphérique qui ne présente aucune des vulnérabilités listées ci-dessus, elle tentera quand même d’effectuer certaines actions grâce au niveau élevé d’autorisations que l’utilisateur lui aura accordées comme la lecture et l’envoi des messages SMS ainsi que la surveillance, la redirection et l’arrêt des appels téléphoniques sortants.

Ce qui pourrait réjouir certains utilisateurs est que les failles mentionnées ont toutes été corrigées en avril 2016. En principe, si vous disposez d’un appareil avec des failles de sécurité à jour, vous ne devez pas craindre ce nouveau malware découvert. Toutefois, pour les personnes possédant des appareils qui reçoivent des mises à jour assez lentement, il serait intéressant de chercher à savoir la date du dernier correctif de sécurité reçu afin de ne pas être exposé à ce malware.

Pour sa part, Google annonce qu’elle a supprimé toutes les applications Tizi détectées dans son magasin d’applications ainsi que celles présentes sur les appareils des utilisateurs.

Source : Google

Et vous ?

Avez-vous déjà fait face à Tizi ?

Comment avez-vous fait pour vous en débarrasser ?

Voir aussi

Pegasus, l'un des logiciels espions les plus sophistiqués a été détecté sur Android, Google recommande cinq conseils de base pour s'en prémunir

Android : un spyware baptisé SMSVova serait présent sur le Play Store et trompait les utilisateurs en se faisant passer pour une mise à jour système

Google Play Store : des centaines d'applications ont utilisé le SDK publicitaire Igexin qui s'est transformé en spyware