Les chercheurs de Lookout viennent de révéler un ensemble de quatre malwares mobiles destinés au cyberespionnage des communautés ouïghoures et tibétaines. Baptisées « SilkBean », « DoubleAgent », « CarbonSteal » et « GoldenEagle », elles permettent, par exemple, de collecter des données personnelles, de réaliser des enregistrements vocaux ou de prendre le contrôle du smartphone infecté par SMS. Ils sont diffusés sous de fausses apparences, telles que des applis de musique, d’e-commerce, de voyage ou pharmaceutiques.
Ces applications existent au moins depuis 2013 et sont attribuées par Lookout au groupe de hackers chinois Gref, alias APT15 ou Playful Dragon. Le but est probablement l’espionnage politique, sous couvert de lutte antiterroriste. Selon Lookout, le nombre d’exemplaires en circulation a considérablement augmenté depuis 2015, année de promulgation d’une série de lois de sécurité nationale en Chine.
Les théâtres d’opérations de ces campagnes de cyberespionnage ne se limitent pas à l’Empire du Milieu, mais comprennent au moins 12 autres pays, visiblement considérés à risque, comme le Tadjikistan, l’Afghanistan ou… la France.
En réalité, l’arsenal de Gref/APT15 est encore plus large. Par le passé, quatre autres applications de surveillance avaient déjà été découvertes, baptisées « HenBox », « PluginPhantom », « Spywaller » et « DarthPusher ». Aucune de ces applications n’est disponible sur Google Play. Elles sont installées sur les terminaux au travers de campagnes de phishing ou par de fausses boutiques applicatives.
