Le malware ActionSpy cible les appareils Android

Les chercheurs ont découvert un nouveau logiciel espion Android, baptisé ActionSpy, ciblant les victimes au Tibet, en Turquie et à Taïwan. Le logiciel espion est distribué via des sites Web malveillants.

Les chercheurs pensent qu’ActionSpy est utilisé dans des campagnes en cours pour cibler les victimes Ouïghoures. Les Ouïghours, un groupe ethnique minoritaire turc affilié à l’Asie centrale et orientale, ils ont déjà été la cible d’attaques de logiciels espions. Bien qu’ils aient découvert le logiciel espion pour la première fois en avril 2020, les chercheurs pensent qu’ActionSpy existe depuis au moins trois ans en se basant sur l’heure de signature du certificat.

“ActionSpy, qui existe peut-être depuis 2017, est un logiciel espion Android qui permet au pirate de collecter des informations à partir des appareils compromis”, ont déclaré des chercheurs de Trend Micro dans une analyse. «Il dispose également d’un module conçu pour espionner les messages instantanés… et collecter les logs de chat de quatre applications de messagerie instantanée différentes.»

Les chercheurs ont découvert qu’ActionSpy se propageait sur plusieurs pages en avril 2020. La façon dont ces pages ont été distribuées dans la nature, que ce soit via des e-mails d’hameçonnage ou autrement, n’est pas claire non plus, ont déclaré les chercheurs.

Certains de ces sites Web étaient en fait faux. Par exemple, une page reproduit des pages d’actualités du site Web du Congrès mondial Ouïghour. D’autres étaient des sites Web légitimes qui avaient été compromis.

Les chercheurs ont identifié un site Web d’actualités et un site Web de parti politique en Turquie qui ont été compromis et utilisés dans l’attaque, par exemple, ainsi qu’un site Web universitaire et un site d’agence de voyage basés à Taïwan qui ont également été compromis et utilisés comme points d’infection.

actionspy

Dans ces cas, les pirates informatiques ont injecté aux sites Web un script pour charger le framework de script intersite BeEF. BeEF (abréviation de The Browser Exploitation Framework) est un outil de test de pénétration qui se concentre sur le navigateur Web.

Les chercheurs disent qu’ils soupçonnent que l’attaquant a utilisé ce framework pour livrer leur script malveillant lorsqu’une victime ciblée a parcouru les sites Web malveillants.

Fin avril 2020, les chercheurs ont découvert un autre type de site Web qui semblait être copié à partir d’une boutique en ligne tierce et invitait les utilisateurs à télécharger une application vidéo ouïghoure populaire auprès des utilisateurs tibétains d’Android, appelée Ekran. La page a été injectée avec deux scripts pour charger le framework BeEF, ainsi que le framework ScanBox. ScanBox, un framework sous la forme d’un fichier JavaScript, peut collecter des informations sur le système du visiteur sans infecter le système.

“Le lien de téléchargement a été modifié en un fichier d’archive contenant une application Android”, ont déclaré des chercheurs. “L’analyse a ensuite révélé que l’application est un logiciel espion Android non documenté que nous avons nommé ActionSpy.”

ActionSpy

Une fois téléchargé, ActionSpy se connectera à son serveur de commande et de contrôle (C2), qui est chiffré avec l’algorithme DES. Les chercheurs ont déclaré que la clé de déchiffrement est générée dans du code natif, ce qui rend l’analyse statique d’ActionSpy difficile. Ensuite, toutes les 30 secondes, le logiciel espion collecterait des informations de base sur l’appareil (y compris l’IMEI, le numéro de téléphone, le fabricant, l’état de la batterie, etc.) qu’il enverrait au serveur C2.

actionspy

ActionSpy prend en charge un éventail de modules, y compris ceux qui lui permettent de collecter l’emplacement de l’appareil, les coordonnées, les journaux d’appels et les messages SMS. Le logiciel espion a également la capacité de connecter ou de déconnecter un appareil au Wi-Fi, de prendre des photos avec l’appareil photo, des captures d’écran de l’appareil et d’obtenir des journaux de discussion à partir d’applications de messagerie comme WhatsApp, de services de messagerie en Chine comme QQ et WeChat, et de l’outil de messagerie japonais Viber .

ActionSpy invite également les utilisateurs à activer le service d’accessibilité Android, à l’aide d’une fenêtre qui prétend être un service de nettoyage de la mémoire. Le service d’accessibilité, qui a déjà été exploité par des cybercriminels dans les attaques Android, aide les utilisateurs handicapés. Ils s’exécutent en arrière-plan et reçoivent des rappels du système lorsque «AccessibilityEvents» s’exécute.

Une fois que l’utilisateur a activé le service d’accessibilité, ActionSpy surveillera ces «événements d’accessibilité» sur l’appareil, lui donnant la possibilité d’analyser l’activité actuelle des victimes et d’extraire des informations telles que les surnoms, le contenu du chat et l’heure du chat.

Earth Empusa

Les chercheurs pensent que les sites Web ont peut-être été créés par un groupe de cybercriminels nommé Earth Empusa. Ceci est basé sur le fait que l’un des scripts malveillants injectés sur la page était hébergé sur un domaine appartenant au groupe.

Earth Empusa, également connu sous le nom de POISON CARP/Evil Eye, est un groupe de cybercriminels qui était auparavant associé à des cyberattaques ciblant des membres seniors de groupes tibétains. Les chercheurs ont déclaré avoir trouvé des pages Web d’actualités, qui semblent avoir été copiées à partir de sites d’actualités en rapport avec les Ouïghours, hébergées sur le serveur d’Earth Empusa en Mars 2020.

Les chercheurs avertissent que Earth Empusa est toujours très actif dans la nature et qu’ils ont observé les injections du framework BeEf sur plusieurs sites liés aux Uyghurs depuis le début de l’année 2020.

“Ces développements nous ont amenés à croire que Earth Empusa élargit la portée de leurs cibles”, préviennent les chercheurs.

Si cet article vous a plu, jetez un œil à notre article précédent.