[ad_1]
Kaspersky sonne l’alerte. La société de cybersécurité l’assure, une campagne malveillante est en cours sur Google Play, où de nombreuses applications malveillantes présentes sur le store d’applications Google espionnent et volent secrètement les données de leurs utilisateurs. Baptisée PhantomLance par les chercheurs de Kaspersky, cette campagne serait active depuis pas moins de quatre ans et se poursuit encore à l’heure où ces lignes sont écrites.
Selon les équipes de Kaspersky, des dizaines d’applications malveillantes feraient partie de cette campagne et hébergeraient ainsi un nouveau Cheval de Troie. Elles seraient toujours disponibles sur le Google Play, le magasin d’applications d’Android, ainsi que sur le site de téléchargement d’applications APKpure. Leur présence ne serait d’ailleurs pas nouvelle. En juillet 2019, l’équipe de Doctor Web a ainsi publié des recherches
sur un nouveau cheval de Troie enfoui dans une application sur Google
Play qui se faisait passer pour un plugin OpenGL.
Selon Kaspersky, un échantillon similaire de ce cheval de Troie a été
trouvé sur Google Play et sa sophistication – qui comprend l’utilisation
de niveaux élevés de cryptage et la capacité d’adapter les charges
utiles malveillantes en fonction de l’environnement des appareils
mobiles – suggère que PhantomLance n’est pas l’œuvre d’acteurs lambdas.
Un Cheval de Troie dans nos smartphones
Cette campagne malveillante, dont de multiples variations ont
été retracées, dispose en effet d’un logiciel ayant les fonctions de base d’un logiciel
espion, telles que des fonctions d’exfiltration pour voler les
informations de l’utilisateur, notamment les journaux d’appels
téléphoniques, les contacts, les données GPS, les messages SMS, et les
informations sur le modèle de l’appareil et le système d’exploitation.
Kaspersky soupçonne qu’un groupe de menace avancée persistante (APT) pourrait être à l’origine de la campagne en raison du soin apporté à la dissimulation de ses traces. Dans « presque tous les cas », explique l’équipe, de faux profils de développeurs ont été créés avec des comptes GitHub associés, et afin d’éviter toute détection, la première version de chaque application téléchargée sur Google Play ou APKpure ne contenait pas de code malveillant.
« Avec les mises à jour ultérieures, les applications ont reçu à la fois des charges utiles malveillantes et un code pour les déposer et les exécuter », explique l’équipe de chercheurs de Kaspersky. Depuis 2016, environ 300 tentatives d’infection ont été retracées sur des appareils Android dans des pays comme l’Inde, le Vietnam, le Bangladesh et l’Indonésie.
Kaspersky désigne OceanLotus
L’attribution de la paternité de ces campagnes malveillantes n’est toutefois pas chose aisée. Cependant, dans le cas de PhantomLance, certains indices laissent penser que le groupe APT OceanLotus, également connu sous le nom d’APT32, est impliqué. Après avoir trié la base de code des applications malveillantes, les équipes de Kasperksy ont ainsi estimé avec une « confiance moyenne » qu’OceanLotus se cacherait derrière les charges utiles. En effet, au moins 20 % de la base de code est similaire aux anciennes cyberattaques d’Android et aux campagnes lancées par le groupe, qui a également tendance à cibler les victimes dans toute l’Asie du Sud-Est.
OceanLotus est actif depuis 2013 et a été lié à des campagnes contre des entités telles que les gouvernements vietnamien et chinois. Récemment, une nouvelle attaque a été lancée par le ministère chinois de la gestion des urgences afin de trouver et de voler des données relatives à la pandémie COVID-19. Kaspersky a signalé toutes les applications malveillantes trouvées. Depuis, Google les a supprimées de la boutique.
« PhantomLance existe depuis plus de cinq ans et les acteurs de la menace ont réussi à contourner les filtres des magasins d’applications à plusieurs reprises, en utilisant des techniques avancées pour atteindre leurs objectifs », explique Alexey Firsh, un chercheur de Kaspersky. « Nous pouvons également constater que l’utilisation des plateformes mobiles comme point d’infection primaire est de plus en plus populaire ».
Source : ZDNet.com
[ad_2]
Source link
