LEBIGDATA.FR I.A, Cloud & Cybersécurité
ESET Research, une référence dans la cybersécurité, a révélé la présence d'une nouvelle campagne de cyberespionnage sur le Google Play Store. Cette enquête pointe du doigt un groupe de cybercriminels bien connu, Patchwork APT, et révèle des détails alarmants sur la manière dont ils ont utilisé le Google Play Store pour distribuer des applications d'espionnage. Ces dernières ont atteint plus de 1 400 installations et sont encore disponibles sur d'autres magasins d'applications.
Des applications malveillantes sous couverture
ESET a identifié 12 applications d'espionnage Android qui partagent un code malveillant commun. Parmi celles-ci, six étaient disponibles sur Google Play, déguisées en outils de messagerie ou d'actualités. En réalité, en arrière-plan, ces applications exécutaient secrètement un cheval de Troie d'accès à distance (RAT) appelé VajraSpy. Ce dernier est utilisé pour l'espionnage ciblé par Patchwork APT.
La principale zone ciblée était le Pakistan, où les auteurs de la campagne ont probablement utilisé une arnaque aux sentiments pour inciter leurs victimes à installer ces applications malveillantes.
Des capacités d'espionnage avancées
VajraSpy est un cheval de Troie qui dispose d'un éventail impressionnant de fonctionnalités d'espionnage. En fonction des autorisations accordées à l'application, il peut voler des contacts, des fichiers, des listes d'appels et des SMS.
Mais ce n'est pas tout, certaines versions de ce RAT peuvent extraire des messages WhatsApp et Signal, enregistrer des appels téléphoniques, et même prendre des photos à l'insu de l'utilisateur.
Un nombre significatif de téléchargements
Les applications malveillantes disponibles sur Google Play ont donc été téléchargées plus de 1 400 fois selon les données disponibles. Une enquête approfondie menée par ESET a permis de révéler la faible sécurité de l'une des applications, ce qui a exposé les données de 148 appareils compromis au Pakistan et en Inde. Ces appareils semblaient être les cibles principales de ces attaques.
ESET, acteur de la cybersécurité
ESET est membre de l'App Defense Alliance et participe activement au programme d'atténuation des logiciels malveillants de Google. En tant que partenaire de la Google App Defense Alliance, ESET a identifié ces applications d'espionnage et les a signalées à Google. Par conséquent, ces dernières ont obtenu leur suppression du Play Store. Cependant, il est important de noter que ces applications continuent d'être disponibles sur d'autres plateformes d'applications. Ces présences nécessitent ainsi une vigilance constante des utilisateurs.
Un code partagé avec d'autres outils d'espionnage
L'année précédente, ESET avait déjà identifié une application d'actualités nommée Rafaqat. Elle a été utilisée pour voler les informations des utilisateurs. Des recherches approfondies ont permis de découvrir plusieurs autres applications partageant le même code malveillant.
Au total, ESET Research a analysé 12 applications Trojan, dont six étaient disponibles sur Google Play et les six autres dans la base de données VirusTotal. Ces applications portaient des noms différents, tels que Privee Talk, MeetMe, Let's Chat, Quick Chat, Rafaqat, Chit Chat, YohooTalk, TikTalk, Hello Chat, Nidus, GlowChat et Wave Chat.
L'arnaque aux sentiments comme vecteur d'attaque
Pour attirer leurs victimes, les auteurs de ces applications malveillantes ont utilisé des techniques ciblées d'ingénierie sociale en exploitant notamment l'arnaque aux sentiments. Les victimes étaient approchées sur des plateformes de messagerie populaires. Ensuite, l'application les incite à passer à une application de messagerie contenant le cheval de Troie.
ESET Research met en garde contre ce type d'approche et conseille la vigilance aux utilisateurs lorsqu'ils reçoivent des liens de téléchargement d'applications dans le cadre de conversations par chat dans le but d'éviter de tomber sur ces application d'espionnage
Une attribution incertaine
Concernant l'attribution de cette campagne, ESET note que Patchwork APT n'a pas été formellement identifié. Mais des preuves circonstancielles suggèrent que le groupe pourrait avoir une liaison à une entité pro-indienne ou indienne. Patchwork APT cible principalement des entités diplomatiques et gouvernementales, ce qui soulève des inquiétudes quant à la sécurité des informations sensibles.
Article basé sur un communiqué de presse reçu par la rédaction.
- Partager l'article :
