Des chercheurs avertissent d’une nouvelle campagne de cyberattaque qui cible les utilisateurs d’application de messagerie instantanée. Un malware circulerait via un clone de WhatsApp baptisé « SafeChat » qui permet aux attaquants de voler des données sensibles.
Clone de WhatsApp : une menace sérieuse pour la vie privée des utilisateurs
Les chercheurs de Cyfirma, une société de cybersécurité basée à Singapour, ont récemment observé une nouvelle activité menaçante ciblant les utilisateurs d’applis de messagerie instantanée. Des hackers utilisent, disent-ils, un clone de WhatsApp pour espionner les victimes.
Ils utilisent notamment une application malveillante de chat baptisée SafeChat intégrant un spyware pour mener l’attaque. Le logiciel espion cible principalement les plateformes de discussion populaires comme Signal et WhatsApp.
#CYFIRMA Research uncovered a dangerous #malicious #Android #malware targeting individuals in #SouthAsia. Disguised as a harmless chatting app; #SafeChat, it can be linked to #APT Bahamut & identifies similar tactics used by DoNot APT. #CISO #Threatintelhttps://t.co/U2gqIMWAJC
— CYFIRMA Research (@CyfirmaR) July 31, 2023
Le spyware permet aux attaquants d’extraire les données sensibles des victimes, notamment les journaux d’appels, les SMS et les géolocalisation GPS des smartphones infectés.
SafeChat a la capacité d’interagir avec d’autres applications de chat déjà installées sur l’appareil. L’appli malveillante peut ainsi surveiller et potentiellement extraire des données de ces applications.
Une campagne de piratage sophistiquée
Les chercheurs qualifient cette campagne utilisant un clone malveillant de WhatsApp de sophistiquée. Le logiciel malveillant utilisé cible spécifiquement les services de messagerie comme Telegram, Signal, WhatsApp, Viber et Facebook Messenger.
Cela permet aux pirates d’exploiter les vulnérabilités et d’extraire des données utilisateur précieuses. SafeChat utilise des tactiques d’ingénierie sociale pour apparaître comme une application de chat légitime, gagnant ainsi la confiance de la victime.
Son processus d’enregistrement des utilisateurs ajoute de la crédibilité à la façade. L’acquisition des autorisations d’accès, elle, joue un rôle essentiel dans le processus d’infection. En exploitant ces autorisations, le logiciel espion accède aux données de l’appareil et des périphériques de stockage externe.
Pour échapper à la détection, les données volées sont chiffrées à l’aide de plusieurs algorithmes de cryptage comme RSA, ECB et OAEPPadding. De plus, les attaquants utilisent un certificat Let’s Encrypt pour contrer les efforts d’interception.
Processus d’attaque : les détails
Pour mener l’attaque, les hackers utilisent principalement des messages de spear phishing sur WhatsApp. Ces messages servent de mécanisme de livraison pour les charges utiles malveillantes.
Cela permet au logiciel espion d’infiltrer insidieusement les appareils des utilisateurs. Les victimes sont amenées à installer SafeChat sous prétexte de transférer leurs conversations vers une plateforme plus sécurisée. Dès lors, elles deviennent la proie de l’interface malveillante et du processus d’enregistrement.
Cette campagne d’attaque est attribuée à Bahamut, un groupe de hackers indiens. Suite aux observations et aux analyses des chercheurs de Cyfirma, ces derniers affirment disposer de suffisamment de preuves pour lier les activités de Bahamut à un gouvernement d’État spécifique en Inde.
Protégez vos appareils contre toute forme d’attaque en installant un logiciel de protection performant choisi parmi notre top des meilleurs antivirus.
- Partager l'article :