Des cybercriminels diffusent actuellement des applications de logiciels espions malveillants via de faux sites Web SecureVPN. Ces sites n’ont aucun lien avec le logiciel et le service SecureVPN légitimes et multiplateformes. Les chercheurs d’ESET ont identifié cette campagne en cours qui cible les utilisateurs d’Android et qui est menée par le groupe APT (Advanced Persistent Threat) Bahamut.
Les applications malveillantes utilisées dans ce cadre sont capables de voler des contacts, des messages SMS, des appels téléphoniques enregistrés et même des messages de chat dans des applications telles que WhatsApp, Facebook Messenger, Signal, Viber et Telegram. Au total, les experts d’ESET ont identifié huit versions du logiciel espion.
Mais ces applications n’étaient à aucun moment disponibles sur Google Play, seulement sur les sites web. Les chercheurs d’ESET ont publié leur analyse sur WeLiveSecurity.de. “La campagne semble avoir été très ciblée, car nous n’avons pas trouvé de cas similaires dans nos données télémétriques”, rapporte Lukas Stefanko, chercheur senior en malware chez ESET.
“Les applications exigent une clé d’activation avant d’activer les fonctions VPN et d’espionnage. Tant le lien vers les pages Web que la clé sont probablement envoyés de manière ciblée aux utilisateurs. Cette procédure vise à éviter que la charge utile malveillante ne se déclenche directement après le lancement ou lors de l’analyse. Le groupe Bahamut est connu pour ce type d’approche.”
Les fausses applications volent les contacts, les messages SMS, les appels téléphoniques et même les messages de chat d’applications comme Signal, Viber et Telegram
Les logiciels espions obtiennent des droits étendus sur les appareils
Lorsque le logiciel espion Bahamut est activé, il peut être contrôlé à distance par les opérateurs et extraire diverses données sensibles de l’appareil, telles que les contacts, les messages SMS, les journaux d’appels, la liste des applications installées, l’emplacement de l’appareil, les comptes de l’appareil, les informations de l’appareil (type de connexion Internet, IMEI, IP, numéro de série SIM), les appels téléphoniques enregistrés et la liste des fichiers sur la mémoire externe.
En abusant des services d’accès, le malware peut voler des notes de l’application SafeNotes. En outre, il espionne activement les messages de chat et les informations sur les appels provenant d’applications de messagerie populaires telles que Facebook Messenger, Viber, Signal, WhatsApp ou Telegram. Les données collectées sont stockées dans une base de données locale puis envoyées au serveur Command and Control (C&C).
Comment les applications arrivent-elles sur les appareils ?
Le groupe Bahamut APT utilise généralement des e-mails de spear-phishing et de fausses applications comme vecteur d’attaque initial contre des entreprises et des particuliers au Moyen-Orient et en Asie du Sud. Les pirates sont spécialisés dans le cyberespionnage. Bahamut est également décrit comme un groupe de mercenaires proposant ses services à un grand nombre de clients.
Le nom de cet acteur de la menace, qui semble être passé maître dans l’art du phishing, a été donné par le groupe de journalistes d’investigation Bellingcat. Les journalistes ont donné au groupe le nom du poisson géant de la mythologie arabe qui nage dans la vaste mer et qui est mentionné dans le livre des êtres imaginaires de Jorge Luis Borges.
Articles identiques:
Quelle formation faire pour devenir data analyste ?
Intelligence artificielle, comment Microsoft utilise Azure pour construire un monde plus durable ?
Numérique et électronique : comment vous préparer à une tempête ?
Quelles sont les principales tendances d’externalisation des technologies informatiques ?