• ESET Research a découvert une nouvelle campagne de cyber-espionnage que l’équipe attribue avec beaucoup de certitude au groupe Patchwork APT.
• La campagne a utilisé Google Play pour distribuer six applis malveillantes associées au code VajraSpy RAT. Six autres applis ont été distribués ‘in the wild’.
• Les applis sur Google Play ont été installées plus de 1.400 fois et sont toujours disponibles sur d'autres magasins.
• Patchwork a certainement utilisé une arnaque romantique pour inciter les victimes à installer le maliciel.
BRATISLAVA, MONTREAL, le 1er février 2024 — Les chercheurs d'ESET ont identifié 12 applis d'espionnage Android ayant le même code malveillant ; six étaient disponibles sur Google Play. Toutes les applis étaient présentées comme des outils de messagerie, à l’exception d’une seule qui se faisait passer pour une appli d’actus. En arrière-plan, ces applis exécutent secrètement le code d'un cheval de Troie d'accès à distance (remote access Trojan - RAT) appelé VajraSpy et utilisé pour l'espionnage ciblé par le groupe Patchwork APT. La campagne ciblait principalement des utilisateurs au Pakistan. Selon ESET, les auteurs de la menace à l'origine des applis trojanisées ont probablement utilisé une arnaque romantique pour inciter leurs victimes à installer le malware.
VajraSpy dispose d'une gamme de fonctionnalités d'espionnage pouvant être étendues selon les autorisations accordées à l'appli fournie avec son code. Il vole des contacts, des fichiers, des journaux d'appels et des messages SMS. Certaines de ses implémentations peuvent même extraire des messages WhatsApp et Signal, enregistrer des appels téléphoniques et prendre des photos.
Selon les chiffres disponibles, les applis malveillantes, précédemment disponibles sur Google Play, ont été téléchargées plus de 1.400 fois. Pendant l'enquête d'ESET, la faible sécurité opérationnelle d'une appli a exposé certaines données des victimes, ce qui a permis aux chercheurs de géo-localiser 148 appareils compromis au Pakistan et en Inde. Il s’agissait probablement des véritables cibles des attaques. ESET est membre de l'App Defense Alliance et partenaire actif du programme d'atténuation des maliciels, qui vise à trouver rapidement les applis potentiellement dangereuses et à les stopper avant qu'elles ne soient sur Google Play. En tant que partenaire de l’ organisation, ESET a identifié les applis malveillantes et en a informé Google. Elles ne sont plus sur Play Store mais elles sont toujours disponibles sur des magasins alternatifs.
L'an dernier, ESET a détecté Rafaqat, une appli d'actualités trojanisée, utilisée pour voler des informations sur les utilisateurs. Des recherches approfondies ont permis d’en découvrir plusieurs autres ayant le même code malveillant. Au total, ESET a analysé 12 applis trojanisées. Six (dont Rafaqat) étaient disponibles sur Google Play et six trouvées ‘in the wild’ – dans la base de données VirusTotal. Ces applis portaient les noms Privee Talk, MeetMe, Let's Chat, Quick Chat, Rafaqat, Chit Chat, YohooTalk, TikTalk, Hello Chat, Nidus, GlowChat et Wave Chat.
Pour attirer leurs victimes, les criminels ont probablement utilisé des escroqueries romantiques, contactant les victimes sur une autre plate-forme, puis les convainquant de passer à une appli de chat trojanisée. « Les cybercriminels utilisent l’ingénierie sociale comme une arme puissante. Nous déconseillons fortement de cliquer sur des liens pour télécharger une appli envoyée lors d’un chat. Il peut être difficile de résister aux avances romantiques fallacieuses, mais il faut toujours rester vigilant », dit Lukáš Štefanko, le chercheur d'ESET qui a découvert ce logiciel espion. Selon la base de données MITRE ATT&CK, Patchwork n'a pas été définitivement attribué et seules des preuves circonstancielles suggèrent que le groupe pourrait être une entité pro-indienne ou indienne. Ce groupe cible principalement les entités diplomatiques et gouvernementales.
Pour plus d'informations techniques sur VajraSpy et les applis d'espionnage du groupe Patchwork APT, consultez le blog “VajraSpy: A Patchwork of espionage apps” sur WeLiveSecurity.com. Suivez aussi ESET Research on X (formerly known as Twitter) pour les nouvelles à propos d’ESET Research.
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez
www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et
https://www.eset.com/be-fr/