ESET Research découvre de fausses applications de messagerie disponibles sur le Web et Google Play

Technology Jessica
ESET Research découvre de fausses applications de messagerie disponibles sur le Web et Google Play
ESET Research découvre de fausses applications de messagerie disponibles sur le Web et Google Play

ESET Research découvre de fausses applications de messagerie disponibles sur le Web et Google Play

Les chercheurs d’ESET ont identifié une campagne d’espionnage ciblant les utilisateurs d’Android utilisant des applications se présentant principalement comme des services de messagerie. Bien que ces applications offrent des fonctionnalités apparemment légitimes, elles sont en réalité associées au malware open Source XploitSPY. Les applications Android malveillantes étaient distribuées via des sites Web dédiés ainsi que sur le Google Play Store.

Cette campagne, nommée eXotic Visit by ESET, a été suivie de novembre 2021 à fin 2023. Elle semble cibler principalement un groupe sélectionné d’utilisateurs d’Android au Pakistan et en Inde. En raison de ce ciblage spécifique, les applications disponibles sur Google Play ont été peu téléchargées (entre zéro et 45) et ont toutes été supprimées du store. Les informations collectées ne permettent pas pour l’instant à ESET d’attribuer cette attaque à un groupe précis.

Les applications nommées Dink Messenger, Sim Info et Defcom ont été supprimées de Google Play. Partenaire de la Google App Defense Alliance, ESET a prévenu Google suite à la découverte de dix autres applications utilisant du code de XploitSPY. Au total, environ 380 personnes ont été concernées par ces applications. Ceux-ci ont été téléchargés à partir de divers sites Web et du Google Play Store.

Les applications construites sur XploitSPY peuvent extraire des listes de contacts ; récupérer des données de géolocalisation. Ils peuvent accéder aux noms de fichiers stockés dans des répertoires spécifiques liés à diverses applications de messagerie telles que Telegram et WhatsApp, ainsi qu’à ceux associés à la caméra et aux téléchargements. Si les noms de fichiers pertinents sont identifiés, ils sont récupérés des répertoires via une requête du serveur de commande et de contrôle (C&C). ESET note qu’une fonctionnalité de chat unique est apparue dans XploitSPY, ce qui suggère fortement que cette fonctionnalité a été développée par le groupe attaquant.

Le malware exploite également une bibliothèque système, fréquemment utilisée dans le développement d’applications Android, pour optimiser leurs performances et accéder aux fonctionnalités du système. Cependant, dans ce contexte, cette bibliothèque est exploitée pour masquer des informations sensibles, comme les adresses des serveurs C&C, compliquant ainsi l’analyse de l’application par les outils de sécurité.

XploitSPY est largement disponible et des versions personnalisées ont été utilisées par de nombreux acteurs malveillants, notamment le groupe APT Transparent Tribe. Toutefois, les modifications observées dans les applications sont spécifiques et distinctes des variantes évoquées précédemment.

 
For Latest Updates Follow us on Google News
 

PREV 30% de réduction sur ces enceintes colonnes Davis Acoustics Krypton 9 chez Son-Vidéo.com !
NEXT Meta parle de l’avenir de l’IA

Related posts

Comment le FC Barcelone a « caché » Lamine Yamal aux autres équipes alors qu’il n’avait pas de contrat

Top 14 – Convaincant à Paris, le RC Vannes veut capitaliser et décrocher sa première victoire face à Lyon

Le Clermont Foot enfin sans Famara Diedhiou à Amiens

Monument préféré des Français. « C’est un moment historique pour la ville du Mans »