Ce spyware du nom de Soundminer, peut surveiller les appels téléphoniques et enregistrer des informations vocales prononcées par l'utilisateur, un numéro de carte de crédit par exemple, ou récupérer les chiffres qu'il tape sur le clavier de son téléphone. « S'appuyant sur diverses techniques d'analyse, Soundminer parvient à extraire l'essentiel des informations enregistrées, comme le numéro de carte de crédit lui-même, et envoie un tout petit bout d'information sélectionnée à un attaquant posté sur le réseau, » expliquent les chercheurs Roman Schlegel de la City University de Hong Kong et Kehuan Zhang, Xiaoyong Zhou, Mehool Intwala, Apu Kapadia, Wang Xiaofeng de l'Université Bloomington dans l'Indiana. « Nous avons installé Soundminer sur un téléphone Android et nous avons testé notre technique en utilisant des données réalistes, identiques à celles pouvant circuler lors d'une conversation téléphonique normale, » ont-ils écrit. « Notre étude montre que des numéros de carte de crédit peuvent être identifiés de façon fiable et transmis de manière rapide. Par conséquent, la menace d'une telle attaque est réelle. »

Le spyware a été conçu pour requérir le minimum d'autorisations pour éviter d'être repéré. Par exemple, le virus peut être autorisé à accéder uniquement au micro du téléphone, mais pas un accès élargi pour transmettre des données, intercepter des appels téléphoniques sortants ou entrer dans les listes de contacts, des opérations qui pourraient susciter des soupçons.

Une variante très efficace et discrète

C'est pourquoi, dans une autre version de l'attaque, les chercheurs ont associé Soundminer avec un Trojan indépendant, du nom de Deliverer, qui prend en charge l'envoi des informations recueillies par le spyware. Car Android pourrait empêcher la communication entre les applications, les chercheurs ont trouvé comment faire communiquer Soundminer avec Deliverer. Ils ont ainsi découvert ce qu'ils appellent plusieurs « canaux cachés » qu'ils ont pu utiliser pour faire passer des informations en même temps que d'autres, via les paramètres du vibreur notamment. Soundminer pourrait coder les données sensibles qu'il veut transmettre sous une forme qui ressemble aux données utilisées dans les paramètres de vibration. Ensuite, Deliverer pourrait décoder ces données pour les envoyer à un serveur distant. Le canal caché en question dispose de seulement 87 bits de bande passante, suffisamment pour transmettre un numéro de carte de crédit qui en utilise 54 bits seulement, » expliquent-ils. Soundminer a été écrit pour effectuer la reconnaissance vocale ou la reconnaissance d'un numéro tapé sur le téléphone lui-même. Cela permet d'éviter l'envoi de gros paquets de données via le réseau pour l'analyse, ce qui pourrait alerter les logiciels de sécurité.

Selon les chercheurs, VirusGuard de SMobile Systems et l'AntiVirus de Droid Security, deux antivirus pour Android utilisés pour le test, ne sont pas parvenus à identifier Soundminer comme malware, même quand il était en train d'enregistrer et de télécharger des données. Les responsables de Google basés à Londres, sans nommer précisément Soundminer, ont déclaré qu'Android était en mesure de minimiser l'impact « d'applications mal programmées ou malveillantes qui pourraient se trouver sur un téléphone. » Selon Google, « si les utilisateurs pensent qu'une application peut-être dangereuse ou inadaptée, ils peuvent la marquer, lui donner une note défavorable, laisser un commentaire détaillée à son sujet, et bien sûr, la retirer de leur appareil. » « Les applications qui sont contraires à nos politiques sont retirées du marché. De la même manière, nous pouvons empêcher les développeurs ne respectant pas notre politique, et épinglés pour infractions, d'accéder à l'Android Market. »