- ESET Research a découvert une nouvelle campagne de cyber espionnage sur le Google PLAY Store
- ESET attribue, avec un haut niveau de confiance, ces applications malveillantes au groupe Patchwork APT.
- La campagne s'est appuyée sur Google Play pour distribuer six applications malveillantes associées au code RAT VajraSpy ; six autres ont été distribuées par d’autres moyens.
- Les applications sur le Google Play ont atteint plus de 1 400 installations et sont toujours disponibles sur d'autres magasins d'applications.
- Patchwork a probablement utilisé une escroquerie amoureuse pour inciter ses victimes à installer le logiciel malveillant.
Les chercheurs d'ESET ont identifié 12 applications d'espionnage Android qui partagent le même code malveillant, dont six étaient disponibles sur Google Play. Toutes les applications observées ont été présentées comme des outils de messagerie, à l'exception d'une qui se présentait comme une application d'actualités. En arrière-plan, ces applications exécutent secrètement un cheval de Troie d'accès à distance (RAT) appelé VajraSpy, utilisé pour l'espionnage ciblé par le groupe Patchwork APT. Cette campagne ciblait principalement des utilisateurs au Pakistan. D'après l'enquête d'ESET, le groupe APT à l'origine des applications trojanisées ont probablement utilisé une arnaque aux sentiments pour inciter leurs victimes à installer le logiciel malveillant.
Quelles sont les capacités de ces logiciels malveillants ?
VajraSpy dispose d'une gamme de fonctionnalités d'espionnage qui peuvent être étendues en fonction des autorisations accordées à l'application. Il vole des contacts, des fichiers, des listes d'appels et des SMS, mais certaines de ses implémentations peuvent même extraire des messages WhatsApp et Signal, enregistrer des appels téléphoniques et prendre des photos avec l'appareil photo.
Téléchargées plus de 1400 fois et diffusées largement
Sur la base des chiffres disponibles, les applications malveillantes qui étaient auparavant disponibles sur Google Play ont été téléchargées plus de 1 400 fois. Au cours de l'enquête menée par ESET, la faible sécurité opérationnelle de l'une des applications a conduit à l'exposition de certaines données des victimes, ce qui a permis aux chercheurs de géolocaliser 148 appareils compromis au Pakistan et en Inde. Il s'agissait probablement des véritables cibles des attaques. ESET est membre de l'App Defense Alliance et un partenaire actif du programme d'atténuation des logiciels malveillants, qui vise à trouver rapidement les applications potentiellement dangereuses et à les arrêter avant qu'elles n'arrivent sur Google Play. En tant que partenaire de la Google App Defense Alliance, ESET a identifié les applications malveillantes et les a signalées à Google, et elles ne sont plus disponibles sur le Play Store. Cependant, les applications sont toujours disponibles sur d'autres magasins d'applications.
Un code commun à d’autres outils d’espionnage
L'année dernière, ESET a détecté qu'une application d'actualités appelée Rafaqat était utilisée pour voler les informations des utilisateurs. Des recherches plus poussées ont permis de découvrir plusieurs autres applications avec le même code malveillant. Au total, ESET a analysé 12 applications trojanisées, dont six étaient disponibles sur Google Play, et six trouvées dans la nature, la base de données VirusTotal. Ces applications portaient différents noms, tels que Privee Talk, MeetMe, Let's Chat, Quick Chat, Rafaqat, Chit Chat, YohooTalk, TikTalk, Hello Chat, Nidus, GlowChat et Wave Chat.
L’arnaque aux sentiments comme vecteur d’attaque
Pour attirer leurs victimes, les auteurs ont recours à des techniques ciblées d'ingénierie sociale. Les victimes sont abordées sur une plateforme de messagerie populaire, puis invitées à passer à une application de messagerie contenant le cheval de Troie. « Les cybercriminels utilisent l'ingénierie sociale comme une arme puissante. Nous déconseillons fortement de cliquer sur des liens de téléchargement d'une application qui seraient envoyés dans le cadre d'une conversation par chat. Il difficile de discerner une arnaque aux sentiments, il est préférable d’être toujours vigilant », conseille Lukáš Štefanko, chercheur chez ESET, qui a découvert ce logiciel espion Android.
Selon la base de données MITRE ATT&CK, Patchwork n'a pas été définitivement attribué et seules des preuves circonstancielles suggèrent que le groupe pourrait être une entité pro-indienne ou indienne. Ce groupe APT cible principalement des entités diplomatiques et gouvernementales.
Chronologie indiquant les dates auxquelles les applications trojanisées sont devenues disponibles
Laura PACCAGNELLA : +33 01 55 89 08 88 - laura.p@eset-nod32.fr
À propos d'ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique pour protéger le patrimoine numérique des entreprises, les infrastructures critiques et les consommateurs du monde entier contre des cybermenaces. Nous protégeons les terminaux fixes et mobiles, les outils collaboratifs et assurons la détection et le traitement des incidents. Établit dans le monde entier, nos centres de R&D récoltent et analysent les cybermenaces pour protéger nos clients et notre monde numérique.