Des logiciels espions auraient été exploités par le gouvernement indien afin de piler le contenu WhatsApp sur les appareils Android, à travers des applications malveillantes ciblant en majorité la population musulmane.

En effet, deux variantes du logiciel espion Android liées à des campagnes de piratage informatique pro-indiennes et parrainées par l’Etat indien ont été découvertes par la société de cybersécurité Lookout. Cette dernière a effectivement lié deux souches de logiciels malveillants, appelés Hornbill et SunBird, au groupe de pirates Confucius. Ce groupe serait suspecté d’être parrainé par le gouvernement nationaliste indien et d’avoir des liens avec l’Inde. L’équipe ayant analysé le malware suggère que Hornbill est basé sur MobileSpy, une application commerciale de stalkerware dédiée à la surveillance à distance des appareils Android, ayant disparue en l’an 2018. Quant à SunBird, celle-ci est dotée d’une base de code semblable à BuzzOut, une ancienne forme de logiciel espion développée en Inde.

Le chercheur de la société Lookout nommé Apurya Kumar confirme que les deux formes de logiciels espions abusent des services d’accessibilité d’Android pour piler WhatsApp, avec comme objectif l’obtention des informations et pour exfiltrer du contenu sans nécessiter un accès root. Il parait que les applications mobiles qui contiennent ce malware soient hébergées en dehors de Google Play et sont proposées en forme de logiciels. Ceci est le cas du faux « Google Security Framework », les agrégateurs de nouvelles locales, les applications liées à l’Islam ainsi que les logiciels sportifs. D’après Lookout, il parait que la plupart de ces applications malveillantes ciblent la population musulmane.

Les approches d’espionnage de Hornbill et SunBird sont différentes. Hornbill se définit comme étant un « outil de surveillance discret » fabriqué pour voler de façon sélective les données qui intéressent son opérateur, alors que SunBird dispose d’une fonctionnalité de cheval de Troie d’accès à distance, permettant le déploiement supplémentaire de logiciels malveillants et le détournement à distance. Ces deux variantes de logiciels malveillants peuvent cependant voler des données, comme par exemple des identificateurs d’appareils, des journaux d’appels, des notes vocales WhatsApp, des listes de contacts et des informations de localisation GPS. Entre autre, ils peuvent demander des privilèges d’administration sur un appareil compromis, prendre des captures d’écran et des photos, et enregistrer du son lors d’appels ou simplement le bruit ambiant.