Passer au contenu

Désinstallez vite ces 12 applications Android qui peuvent enregistrer vos appels téléphoniques et prendre des photos avec votre smartphone !

Les chercheurs d’ESET ont identifié 12 applications d’espionnage Android qui partagent le même code malveillant, dont six étaient disponibles sur Google Play.

Une nouvelle campagne de cyber espionnage sur le Google PLAY Store

Toutes les applications observées ont été présentées comme des outils de messagerie, à l’exception d’une qui se présentait comme une application d’actualités. En arrière-plan, ces applications exécutent secrètement un cheval de Troie d’accès à distance (RAT) appelé VajraSpy, utilisé pour l’espionnage ciblé par le groupe Patchwork APT. Cette campagne ciblait principalement des utilisateurs au Pakistan (mais pas que). D’après l’enquête d’ESET, le groupe APT à l’origine des applications trojanisées ont probablement utilisé une arnaque aux sentiments pour inciter leurs victimes à installer le logiciel malveillant.

VajraSpy dispose d’une gamme de fonctionnalités d’espionnage qui peuvent être étendues en fonction des autorisations accordées à l’application. Il vole des contacts, des fichiers, des listes d’appels et des SMS, mais certaines de ses implémentations peuvent même extraire des messages WhatsApp et Signal, enregistrer des appels téléphoniques et prendre des photos avec l’appareil photo.

Plus de 1 400 installations et toujours disponibles

Sur la base des chiffres disponibles, les applications malveillantes qui étaient auparavant disponibles sur Google Play ont été téléchargées plus de 1 400 fois. Au cours de l’enquête menée par ESET, la faible sécurité opérationnelle de l’une des applications a conduit à l’exposition de certaines données des victimes, ce qui a permis aux chercheurs de géolocaliser 148 appareils compromis au Pakistan et en Inde. Il s’agissait probablement des véritables cibles des attaques.

Unnamed (53)
© ESET

ESET est membre de l’App Defense Alliance et un partenaire actif du programme d’atténuation des logiciels malveillants, qui vise à trouver rapidement les applications potentiellement dangereuses et à les arrêter avant qu’elles n’arrivent sur Google Play. En tant que partenaire de la Google App Defense Alliance, ESET a identifié les applications malveillantes et les a signalées à Google, et elles ne sont plus disponibles sur le Play Store. Cependant, les applications sont toujours disponibles sur d’autres magasins d’applications.

Un code commun à d’autres outils d’espionnage

L’année dernière, ESET a détecté qu’une application d’actualités appelée Rafaqat était utilisée pour voler les informations des utilisateurs. Des recherches plus poussées ont permis de découvrir plusieurs autres applications avec le même code malveillant. Au total, ESET a analysé 12 applications trojanisées, dont six étaient disponibles sur Google Play, et six trouvées dans la nature, grâce à la base de données VirusTotal. Ces applications portaient différents noms, tels que :

  • Privee Talk
  • MeetMe
  • Let’s Chat
  • Quick Chat
  • Rafaqat
  • Chit Chat
  • YohooTalk
  • TikTalk
  • Hello Chat
  • Nidus
  • GlowChat
  • Wave Chat

Pour attirer leurs victimes, les auteurs ont recours à des techniques ciblées d’ingénierie sociale. Les victimes sont abordées sur une plateforme de messagerie populaire, puis invitées à passer à une application de messagerie contenant le cheval de Troie.

“Les cybercriminels utilisent l’ingénierie sociale comme une arme puissante. Nous déconseillons fortement de cliquer sur des liens de téléchargement d’une application qui seraient envoyés dans le cadre d’une conversation par chat. Il difficile de discerner une arnaque aux sentiments, il est préférable d’être toujours vigilant”, conseille Lukáš Štefanko, chercheur chez ESET, qui a découvert ce logiciel espion Android.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Mode