Selon Cisco, cette campagne de logiciels malveillants est en cours depuis janvier et montre à quel point la synchronisation entre appareils peut devenir risquée dès qu’un seul d’entre eux est infecté. Phone Link est installée par défaut sur Windows 10 et Windows 11 et s’appelait auparavant simplement « Your Phone ». Cette application vous permet de connecter un smartphone Android ou un iPhone à votre PC via Wi-Fi et Bluetooth.
Cela vous permet notamment de répondre à des appels, de lire et de répondre à des SMS, de recevoir des notifications et (dans le cas d’Android) également de consulter et de partager des photos depuis votre ordinateur. C’est précisément cette connexion permanente entre le smartphone et l’ordinateur qui rend Phone Link pratique, mais qui le rend aussi intéressant pour les pirates.
CloudZ vous accompagne via Phone Link
Le logiciel malveillant en question s’appelle CloudZ et est ce qu’on appelle un cheval de Troie d’accès à distance, ou RAT. Ce type de logiciel malveillant permet aux pirates d’accéder à distance à un système infecté et est souvent utilisé pour voler des données ou espionner les utilisateurs. CloudZ s’exécute sous Windows en tant que programme .NET et est conçu pour rendre sa détection aussi difficile que possible. Le logiciel malveillant dissimule son code, échappe à l’analyse et se connecte à un serveur de commande et de contrôle à partir duquel des instructions sont transmises.
Le composant le plus dangereux est un plug-in appelé Pheno. Ce module surveille en permanence si Microsoft Phone Link est actif. Dès que c’est le cas, CloudZ tente d’intercepter la base de données SQLite locale de l’application. Grâce à ce détournement, le logiciel malveillant peut intercepter des données sensibles lors de leur transfert de votre smartphone vers votre PC. Il s’agit notamment des identifiants enregistrés, des SMS et éventuellement des codes d’authentification à usage unique pour la vérification en deux étapes.
Pas de fuite dans Phone Link
Bon à savoir : CloudZ n’exploite pas une faille de Phone Link en soi. Le logiciel malveillant utilise des processus Windows légitimes pour intercepter des données, une technique de plus en plus courante chez les logiciels espions et les voleurs d’informations. C’est précisément ce qui rend cette attaque si insidieuse. Ce n’est pas votre smartphone qui est piraté directement, mais la connexion entre votre téléphone et votre PC qui est détournée pour intercepter des informations sensibles. Si vous comptez sur les codes SMS ou l’authentification à deux facteurs comme couche de sécurité supplémentaire, vous devez donc être conscient que cette protection ne vaut plus grand-chose dès qu’un PC infecté se trouve dans la chaîne.
Cisco Talos ne sait pas encore exactement comment CloudZ s’introduit dans les systèmes, mais dans les cas étudiés, le logiciel malveillant se faisait passer pour une mise à jour de ScreenConnect. Cela correspond à un schéma classique : un logiciel malveillant se faisant passer pour un logiciel légitime. La leçon principale à en tirer est donc simple : ne téléchargez des logiciels qu’à partir de sources officielles. Évitez les versions piratées, les sites de téléchargement douteux et les liens provenant d’e-mails ou des réseaux sociaux. Cela reste l’un des moyens les plus courants par lesquels les chevaux de Troie s’introduisent dans les systèmes.
La protection en temps réel offerte par les logiciels antivirus reste également importante, tout comme les analyses régulières de votre PC et de votre smartphone. En effet, dès qu’un appareil est infecté, la connexion avec vos autres appareils devient soudainement beaucoup moins sûre. Si vous utilisez Phone Link, vous n’avez pas besoin de supprimer l’application immédiatement. Mais cette attaque démontre une fois de plus que la synchronisation entre appareils est pratique, à condition que les deux côtés de cette connexion restent réellement exempts de virus.
