ESET Research: le groupe Arid Viper cible le Moyen-Orient et empoisonne une appli palestinienne avec AridSpy
Publié le 13/06/2024 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
• ESET Research découvre un maliciel Android à plusieurs niveaux, nommé AridSpy par ESET et distribué par cinq sites Web dédiés.
• ESET a détecté qu’AridSpy est apparu en Palestine et en Égypte et l’attribue, avec une confiance moyenne, au groupe Arid Viper APT.
• Parfois, le code d'AridSpy est intégré dans des applis fournissant des fonctionnalités légitimes.
• AridSpy, un cheval de Troie contrôlé à distance, espionne les données des utilisateurs - les applis de messagerie et, parmi d’autres fonctionnalités, exfiltre le contenu de l'appareil.

BRATISLAVA, le 13 juin 2024 — Les chercheurs d'ESET ont identifié cinq campagnes utilisant des applis trojanisées pour cibler les utilisateurs d'Android. Fort probablement réalisées par le groupe Arid Viper APT, ces campagnes ont débuté en 2022 et trois sont encore en cours à la publication de ce communiqué. Elles déploient un logiciel espion Android en plusieurs étapes, appelé par ESET AridSpy, qui, depuis son serveur Command & Control (C&C), télécharge les charges utiles en deux étapes pour éviter la détection. Le maliciel est distribué via des sites dédiés se faisant passer pour des applis de messagerie, une appli d'offres d'emploi et une d'état civil palestinien. ESET Research a détecté AridSpy, le cheval de Troie télécommandé qui se concentre sur l'espionnage des données des utilisateurs, en Palestine et en Égypte.

Arid Viper, aussi connu sous le nom d'APT-C-23, Desert Falcons ou Two-tailed Scorpion, est un groupe de cyber espionnage ciblant les pays du Moyen-Orient . Le groupe a attiré l'attention au fil des années par son vaste arsenal de maliciels pour plates-formes Android, iOS et Windows.

Trois applis malveillantes, fournies par des sites Web usurpant les identités, sont des applis légitimes infectées par le logiciel espion AridSpy. Elles n'ont jamais été proposées sur Google Play et sont uniquement téléchargées à partir de sites tiers. Pour les installer, la victime potentielle doit activer l'option Android, pas par défaut, pour installer des applis provenant de sources inconnues. En Palestine, la majorité des logiciels espions concernaient l'appli malveillante de l’état civil.

« Pour obtenir un premier accès à l’appareil, les auteurs de la menace tentent de convaincre leur victime potentielle d’installer une fausse appli fonctionnelle. Lorsque la cible clique sur le bouton de téléchargement du site, myScript.js, hébergé sur le même serveur, le chemin de téléchargement correct pour le fichier malveillant est généré et exécuté », explique Lukáš Štefanko, le chercheur d'ESET qui a découvert AridSpy.

Une campagne incluait LapizaChat, une appli de messagerie Android malveillante avec des versions trojanisées de StealthChat : Private Messaging regroupées avec le code malveillant d'AridSpy. ESET a identifié deux autres campagnes qui ont commencé à distribuer AridSpy après LapizaChat, se faisant passer pour les applis de messagerie NortirChat et ReblyChat. NortirChat est basée sur Session, l'appli de messagerie légitime. ReblyChat est basée sur le Voxer Walkie Talkie Messenger légitime.

L’appli de l’état civil palestinien s’inspire d’une appli précédemment disponible sur Google Play. Selon l’enquête ESET, l'appli malveillante disponible en ligne n'est pas une version trojanisée de l'appli sur Google Play. Elle utilise le serveur légitime de cette appli pour récupérer des informations. Arid Viper s'est donc inspiré des fonctionnalités de cette appli mais a créé sa propre couche client qui communique avec le serveur légitime. Arid Viper a probablement procédé à une ingénierie inversée de l'appli Android légitime sur Google Play et a utilisé son serveur pour récupérer les données des victimes. La dernière campagne identifiée par ESET distribue AridSpy comme appli d'offre d'emploi.

AridSpy possède une fonctionnalité pour éviter la détection du réseau – en particulier la communication C&C. Il peut se désactiver, comme l’indique AridSpy dans le code. L'exfiltration de données est initiée par la réception d'une commande du serveur Firebase C&C, ou quand un événement spécifiquement défini est déclenché. Ces événements incluent des modifications de la connectivité Internet, l'installation ou désinstallation de l'appli, un appel téléphonique émis ou reçu, un message SMS envoyé ou reçu, un chargeur de batterie connecté ou déconnecté ou quand l'appareil redémarre.

Si un de ces événements se produit, AridSpy collecte diverses données sur les victimes et les télécharge sur le serveur d'exfiltration C&C. Il peut collecter l'emplacement de l'appareil ; listes de contacts ; journaux d'appels ; messages texte ; vignettes de photos et de vidéos enregistrées ; appels téléphoniques enregistrés ; enregistrement audio de l’environnement ; photos prises par des maliciels ; bases de données WhatsApp avec messages échangés et contacts utilisateurs ; signets et historique de recherche du navigateur par défaut et des applis Chrome, Samsung Browser et Firefox, si installées; fichiers provenant d'un stockage externe ; communication Facebook Messenger et WhatsApp ; et toutes les notifications reçues.

Pour plus d’information sur AridSpy, lisez le blog “Arid Viper poisons Android apps with AridSpy.” Pour les dernières nouvelles sur ESET Research suivez ESET Research on Twitter (today known as X)

A PROPOS d’ESET
ESET® offre une sécurité numérique de pointe pour prévenir les attaques avant qu'elles ne se produisent. En combinant la puissance de l'IA et l'expertise humaine, ESET conserve une longueur d'avance sur les cyber-menaces connues et émergentes, en sécurisant les entreprises, les infrastructures critiques et les individus. Qu’il s’agisse de protection des terminaux, du cloud ou des mobiles, nos solutions et services basés sur l’IA et axés sur le cloud sont très efficaces et faciles à utiliser. La technologie ESET comprend une détection et une réponse robustes, un cryptage ultra-sécurisé et une authentification multi facteur.
Avec une défense en temps réel 24/7 et un solide support local, ESET assure la sécurité des utilisateurs et le fonctionnement des entreprises sans interruption. Un paysage numérique en constante évolution exige une approche progressive de la sécurité : ESET dispose d’une recherche de classe mondiale et d’une puissante intelligence des menaces, soutenues par des centres de R&D ainsi qu’un un solide réseau mondial de partenaires. Pour plus d'informations, visitez www.eset.com ou suivez-nous sur LinkedIn, Facebook, X et https://www.eset.com/be-fr/.

Poster un commentaire
Vous devez être identifié pour accéder à cette fonctionnalité

Utilisateur
Mot de passe
 
Informaticien.be - © 2002-2024 AkretioSPRL  - Generated via Kelare
The Akretio Network: Akretio - Freedelity - KelCommerce - Votre publicité sur informaticien.be ?