- ESET Research a découvert une campagne du groupe de pirates Transparent Tribe qui cible principalement des citoyens indiens et pakistanais ayant probablement un passé militaire ou politique.
- Transparent Tribe a diffusé la porte dérobée Android CapraRAT via des applications de messagerie et d’appel sécurisées sous le nom de MeetsApp et MeetUp. Elle est capable d’exfiltrer toute information sensible des appareils des victimes.
- Ces applications pouvaient être téléchargées à partir de sites web se faisant passer pour des sites de téléchargement officiels. Nous pensons qu’une arnaque à la romance a été utilisée pour attirer les cibles sur ces sites.
- Ces applications mal sécurisées ont exposé des informations personnellement identifiables, ce qui nous a permis de géolocaliser 150 victimes.
Les chercheurs d’ESET, 1<sup>er</sup> éditeur Européen de solutions de sécurité, ont analysé une campagne de cyberespionnage diffusant des portes dérobées CapraRAT via des applications de messagerie Android prétendument sécurisées mais comportant un cheval de Troie, qui exfiltrent des informations sensibles. Cette campagne est toujours active et est menée par le groupe de pirates Transparent Tribe. Les cibles sont principalement des utilisateurs indiens et pakistanais d’Android, vraisemblablement dans un but militaire ou politique. Les victimes ont probablement été ciblées à l’aide d’une escroquerie sentimentale. Elles ont tout d’abord été contactées sur une autre plateforme, puis ont été invitées à installer des applications prétendument plus sûres. Les chercheurs d’ESET ont pu géolocaliser plus de 150 victimes en Inde et au Pakistan, ainsi qu’en Russie, à Oman et en Égypte. La campagne est très probablement active depuis juillet 2022.
« Les victimes ont été encouragées à utiliser l’application MeetsApp ou MeetUp. Cette méthode fût déjà utilisée par les opérateurs de Transparent Tribe contre leurs cibles. Trouver un numéro de téléphone portable ou une adresse email, qu’ils peuvent utiliser pour établir un premier contact, n’est pas difficile, » explique Lukáš Štefanko, le chercheur d’ESET qui a découvert la campagne. « Nous avons identifié cette campagne en analysant un autre échantillon de malware posté sur Twitter, » explique M. Štefanko.
En plus de la fonctionnalité de chat inhérente aux applications d’origine MeetUp et MeetsApp, les versions comportent un cheval de Troie qu’ESET a identifié comme étant celui de la porte dérobée CapraRAT. Transparent Tribe, également connu sous le nom d’APT36, est un groupe de cyberespionnage qui utilise CapraRAT. La porte dérobée peut prendre des captures d’écran et des photos, enregistrer les appels téléphoniques, effectuer des enregistrements audio à l’aide du microphone, et exfiltrer toutes autres informations sensibles. Elle peut également recevoir des commandes pour télécharger des fichiers, passer des appels et envoyer des SMS. La campagne est étroitement ciblée, et rien ne suggère que ces applications n’aient été publiées sur Google Play.
CapraRAT est contrôlé à distance et exécute les commandes reçues du serveur de commande et de contrôle. Les opérateurs de ces applications n’ont implémenté que peu de fonctionnalités de sécurité, ce qui a permis à nos chercheurs de localiser sur Internet les informations personnelles identifiables des victimes, et d’obtenir ainsi leur géolocalisation.
Les deux applications sont diffusées par deux sites web similaires qui les décrivent comme des services de messagerie et d’appel sécurisés. En d’autres termes, ils se présentent comme les centres de diffusion officiels de ces applications. Avant d’utiliser l’application, les victimes doivent créer des comptes qui sont liés à leur numéro de téléphone et qui nécessitent une vérification par SMS. Une fois ce compte créé, l’application demande d’autres autorisations qui permettent à la porte dérobée de fonctionner pleinement, comme l’accès aux contacts, aux journaux d’appels, aux messages SMS, au stockage externe et à l’enregistrement audio.
Transparent Tribe utilise probablement une arnaque à la romance pour inciter les victimes à installer l’application, et continuer de communiquer avec elles à l’aide de l’application malveillante pour les retenir sur la plateforme et accéder à leur appareil.
Pour plus d’informations techniques sur cette dernière campagne de Transparent Tribe, consultez l’article « Love scam or espionage? de Transparent Tribe lures Indian and Pakistani officials » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.
Répartition des victimes
Darina SANTAMARIA - +33 01 55 89 08 88 - darina.j@eset-nod32.fr
Ines KHELIFI : +33 01 55 89 29 30 - ines.k@eset-nod32.fr
À propos d'ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique pour protéger le patrimoine numérique des entreprises, les infrastructures critiques et les consommateurs du monde entier contre des cybermenaces. Nous protégeons les terminaux fixes et mobiles, les outils collaboratifs et assurons la détection et le traitement des incidents. Établit dans le monde entier, nos centres de R&D récoltent et analysent les cybermenaces pour protéger nos clients et notre monde numérique.