Passer au contenu

Un malware Android prolifère à grands coups d’escroqueries amoureuses

Une nouvelle campagne d’espionnage orchestrée par le groupe Patchwork a été découverte par les chercheurs en sécurité d’ESET Research. Elle exploite des applications malveillantes sur Google Play et d’autres plateformes, infectées par le malware VajraSpy RAT.

Il ne se passe décidément pas une semaine sans une nouvelle alerte à la sécurité sur Android ! La nature relativement ouverte du système d’exploitation de Google permet aux pirates d’orchestrer facilement des attaques sophistiquées, y compris depuis le Play Store, la boutique officielle d’apps.

Des applications trompeuses comme vecteur d’espionnage

C’est le cas une fois encore avec la découverte par ESET Research : 12 applications Android malveillantes, dont six disponibles sur Google Play et les six autres distribuées par des boutiques alternatives. Ces apps, téléchargées plus de 1.400 fois, étaient présentées comme des outils de messagerie, à l’exception d’une qui se faisait passer pour une application d’actualités.

En réalité, elles exécutaient secrètement un cheval de Troie d’accès à distance (RAT) baptisé VajraSpy, utilisé pour l’espionnage ciblé par le groupe Patchwork APT. Ce dernier aurait recouru à des stratagèmes de « séduction » pour inciter ses victimes à installer le malware.

Les acteurs de la menace ont vraisemblablement utilisé des escroqueries amoureuses ciblées (ou « honey-trap ») pour attirer leurs victimes. Cette méthode consiste à créer de faux profils attrayants sur des plateformes de réseaux sociaux ou des applications de rencontre.

Les opérateurs de ces campagnes engagent ensuite des conversations avec des cibles potentielles, établissant une relation de confiance et de séduction. Une fois cette relation établie, ils recommandent ou incitent la victime à télécharger une application de messagerie, prétendument pour faciliter une communication plus intime.

Parmi les fonctions d’espionnage de VajraSpy, on trouve le vol de contacts, de fichiers, de journaux d’appels et de messages SMS. Dans certaines configurations, le malware peut même extraire des messages de WhatsApp et Signal, enregistrer des appels téléphoniques et prendre des photos à l’insu de l’utilisateur.

Les apps suivantes sont concernées par cette alerte, alors si vous les avez téléchargées et installées, il est grand temps de les supprimer : Rafaqat, Privee Talk, MeetMe, Let’s Chat, Quick Chat, Chit Chat, Hello Chat, YohooTalk, TikTalk, Nidus, GlowChat et Wave Chat.

Bien que les applications malveillantes aient été retirées de Google Play grâce à l’intervention d’ESET (qui est membre de l’App Defense Alliance), elles restent accessibles sur des boutiques d’applications alternatives. Les chercheurs ont pu géolocaliser 148 appareils compromis au Pakistan et en Inde, révélant ainsi les cibles probables de cette campagne d’espionnage.

Les chercheurs de l’ESET mettent en garde contre le téléchargement d’applications de messagerie obscures recommandées par des inconnus, une tactique fréquemment employée par les cybercriminels pour infiltrer des dispositifs. Malgré les nouvelles politiques de Google Play pour limiter la présence de malwares, les acteurs malveillants trouvent toujours le moyen de dissimuler leurs malwares.

Les précédentes attaques ayant enregistré un succès plus marqué, comme le malware SpyLoan téléchargé 12 millions de fois l’an dernier, illustrent l’évolution continue et la capacité d’adaptation des cybercriminels. La méfiance est plus que jamais de mise !

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

Mode