Un spyware Android espionne les messages WhatsApp et Telegram

Les chercheurs affirment avoir découvert une nouvelle variante de logiciel espion Android avec une stratégie de communication de commande et de contrôle mise à jour et des capacités de surveillance étendues qui fouinent dans les applications WhatsApp et Telegram.

Le logiciel malveillant, Android/SpyC32.A, est actuellement utilisé dans des campagnes actives ciblant des victimes au Moyen-Orient. Il s’agit d’une nouvelle variante d’un malware existant exploité par le groupe de menaces APT-C-23 (également connu sous le nom de Two-Tailed Scorpion et Desert Scorpion). APT-C-23 est connu pour utiliser à la fois des composants Windows et Android, et a déjà ciblé des victimes au Moyen-Orient avec des applications afin de compromettre les smartphones Android.

«Nos recherches montrent que le groupe APT-C-23 est toujours actif, améliorant son ensemble d’outils mobiles et exécutant de nouvelles opérations», selon des chercheurs d’ESET dans le rapport “Android/SpyC32.A – la dernière version du logiciel espion du groupe – comporte plusieurs améliorations qui le rendent plus dangereux pour les victimes.”

Les activités d’APT-C-23 – y compris ses logiciels malveillants mobiles – ont été observées pour la première fois en 2017 par plusieurs équipes de recherche en sécurité. Pendant ce temps, la version mise à jour, Android/SpyC23.A, se balade depuis mai 2019 et a été détectée pour la première fois par des chercheurs en juin 2020.

Les échantillons de logiciels malveillants détectés étaient déguisés en une application de messagerie légitime proposée via Google Play. L’application, appelée WeMessage, est malveillante, selon les chercheurs, et utilise des graphiques totalement différents et ne semble pas usurper l’identité de l’application légitime autrement que par son nom. Les chercheurs ont déclaré que cette application malveillante n’avait aucune fonctionnalité réelle et servait uniquement d’appât pour l’installation du logiciel espion.

Les chercheurs ont également déclaré qu’ils ne savaient pas comment cette fausse application WeMessage avait été distribuée. Les versions précédentes du logiciel malveillant étaient distribuées dans les applications via un faux magasin d’applications Android, appelé le magasin «DigitalApps». Le faux magasin d’applications distribuait à la fois des applications légitimes et de fausses applications se présentant comme AndroidUpdate, Threema et Telegram. Cependant, les chercheurs ont déclaré que la fausse application WeMessage n’était pas sur le magasin «DigitalApps».

Nouvelles mises à jour du spyware Android

Les versions précédemment documentées de ce logiciel espion ont diverses capacités, notamment la possibilité de prendre des photos, d’enregistrer de l’audio, d’exfiltrer les journaux d’appels, les messages SMS et les contacts, etc. Ils le feraient en demandant un certain nombre d’autorisations invasives, en utilisant des techniques de type ingénierie sociale pour tromper les utilisateurs techniquement inexpérimentés.

WeMessage

Cette dernière version dispose de capacités de surveillance étendues, ciblant spécifiquement les informations collectées à partir des réseaux sociaux et des applications de messagerie. Le logiciel espion peut désormais enregistrer les écrans des victimes et prendre des captures d’écran, enregistrer les appels entrants et sortants dans WhatsApp et lire le texte des notifications des applications de réseaux sociaux, notamment WhatsApp, Facebook, Skype et Messenger.

Le logiciel malveillant utilise également une tactique dans laquelle il crée une superposition d’écran vide à mettre sur l’écran Android pendant qu’il effectue des appels, ce qui l’aide à masquer son activité d’appel. Dans une autre technique pour masquer son activité, le malware peut ignorer ses propres notifications. Les chercheurs disent qu’il s’agit d’une fonctionnalité inhabituelle, éventuellement utilisée en cas d’erreurs ou d’avertissements affichés par le malware.

Enfin, la nouvelle version du malware peut ignorer les notifications des applications de sécurité intégrées pour les appareils Android (ce qui lui permet de masquer les avertissements de sécurité d’activité suspecte de la victime), y compris les notifications Samsung, les notifications SecurityLogAgent sur les appareils Samsung, les notifications de sécurité MIUI sur les appareils Xiaomi et Phone Manager sur les appareils Huawei.

Les communications C2 du malware ont également fait l’objet d’une refonte. Dans les versions plus anciennes, le logiciel malveillant utilisait des communications C2 codé en dur, soit disponible en texte brut ou banalement obscurci – ce qui signifie qu’il était plus facile à identifier. Dans la version mise à jour, cependant, la communication C2 est bien caché à l’aide de diverses techniques et peut être modifié à distance par l’attaquant, ce qui rend la détection beaucoup plus difficile, ont déclaré les chercheurs.

Autres apparitions APT-C-23

Ce n’est pas la première analyse de l’APT-C-23 cette année. Début 2020, Check Point Research a signalé de nouvelles attaques de malwares mobiles attribuées au groupe APT-C-23. En avril 2020, @malwrhunterteam a tweeté à propos d’une nouvelle variante de malware Android, que les chercheurs – en coopération avec @malwrhunterteam – ont reconnue comme faisant partie des opérations d’APT-C-23. Puis en juin 2020, @malwrhunterteam a tweeté à propos d’un autre échantillon de malware Android, qui était lié à l’échantillon du mois d’avril.

Android

Pour éviter d’être victime de logiciels espions, les chercheurs ont conseillé aux utilisateurs d’Android de n’installer que les applications de l’App Store officiel Google Play et d’examiner les autorisations des applications.

«Dans les cas où des problèmes de confidentialité, des problèmes d’accès ou d’autres restrictions empêchent les utilisateurs de suivre ces conseils, les utilisateurs doivent faire très attention lorsqu’ils téléchargent des applications à partir de sources non officielles», ont déclaré les chercheurs. “Nous vous recommandons d’examiner attentivement le développeur de l’application, de vérifier à nouveau les autorisations demandées et d’utiliser une solution de sécurité mobile fiable et à jour.”

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x