Les chercheurs d’ESET ont identifié 12 applications d’espionnage Android qui partagent le même code malveillant, dont six étaient disponibles sur Google Play.
Toutes les applications observées ont été présentées comme des outils de messagerie, à l’exception d’une qui se présentait comme une application d’actualités.
En arrière-plan, ces applications exécutent secrètement un cheval de Troie d’accès à distance (RAT) appelé VajraSpy, utilisé pour l’espionnage ciblé par le groupe Patchwork APT.
Cette campagne ciblait principalement des utilisateurs au Pakistan. D’après l’enquête d’ESET, le groupe APT à l’origine des applications trojanisées ont probablement utilisé une arnaque aux sentiments pour inciter leurs victimes à installer le logiciel malveillant.
Quelles sont les capacités de ces logiciels malveillants ?
VajraSpy dispose d’une gamme de fonctionnalités d’espionnage qui peuvent être étendues en fonction des autorisations accordées à l’application. Il vole des contacts, des fichiers, des listes d’appels et des SMS, mais certaines de ses implémentations peuvent même extraire des messages WhatsApp et Signal, enregistrer des appels téléphoniques et prendre des photos avec l’appareil photo.
Téléchargées plus de 1400 fois et diffusées largement
Sur la base des chiffres disponibles, les applications malveillantes qui étaient auparavant disponibles sur Google Play ont été téléchargées plus de 1 400 fois. Au cours de l’enquête menée par ESET, la faible sécurité opérationnelle de l’une des applications a conduit à l’exposition de certaines données des victimes, ce qui a permis aux chercheurs de géolocaliser 148 appareils compromis au Pakistan et en Inde. Il s’agissait probablement des véritables cibles des attaques.
ESET est membre de l’App Defense Alliance et un partenaire actif du programme d’atténuation des logiciels malveillants, qui vise à trouver rapidement les applications potentiellement dangereuses et à les arrêter avant qu’elles n’arrivent sur Google Play.
En tant que partenaire de la Google App Defense Alliance, ESET a identifié les applications malveillantes et les a signalées à Google, et elles ne sont plus disponibles sur le Play Store. Cependant, les applications sont toujours disponibles sur d’autres magasins d’applications.
Un code commun à d’autres outils d’espionnage
L’année dernière, ESET a détecté qu’une application d’actualités appelée Rafaqat était utilisée pour voler les informations des utilisateurs. Des recherches plus poussées ont permis de découvrir plusieurs autres applications avec le même code malveillant. Au total, ESET a analysé 12 applications trojanisées, dont six étaient disponibles sur Google Play, et six trouvées dans la nature, la base de données VirusTotal. Ces applications portaient différents noms, tels que Privee Talk, MeetMe, Let’s Chat, Quick Chat, Rafaqat, Chit Chat, YohooTalk, TikTalk, Hello Chat, Nidus, GlowChat et Wave Chat.
L’arnaque aux sentiments comme vecteur d’attaque
Pour attirer leurs victimes, les auteurs ont recours à des techniques ciblées d’ingénierie sociale. Les victimes sont abordées sur une plateforme de messagerie populaire, puis invitées à passer à une application de messagerie contenant le cheval de Troie. « Les cybercriminels utilisent l’ingénierie sociale comme une arme puissante. Nous déconseillons fortement de cliquer sur des liens de téléchargement d’une application qui seraient envoyés dans le cadre d’une conversation par chat. Il difficile de discerner une arnaque aux sentiments, il est préférable d’être toujours vigilant », conseille Lukáš Štefanko, chercheur chez ESET, qui a découvert ce logiciel espion Android.
Selon la base de données MITRE ATT&CK, Patchwork n’a pas été définitivement attribué et seules des preuves circonstancielles suggèrent que le groupe pourrait être une entité pro-indienne ou indienne. Ce groupe APT cible principalement des entités diplomatiques et gouvernementales.
