Une campagne de logiciels espions furtifs et dangereux de l'APT DoNot a peut-être ciblé des centaines d'utilisateurs d'Android en se faisant passer pour de fausses applications de VPN et de chat sur le Google Play Store. Les utilisateurs doivent vérifier leurs appareils et supprimer immédiatement les applications si elles sont trouvées en cours d'exécution.
La campagne de logiciels espions de DoNot APT se propage via de fausses applications Android
Les chercheurs de la société de cybersécurité Cyfirma ont découvert une campagne sournoise de logiciels espions ciblant les utilisateurs d'Android. Cependant, cette campagne de logiciels espions est différente des campagnes habituelles car elle semble cibler les utilisateurs d'une nation spécifique.
Plus précisément, les chercheurs ont remarqué l'activité du célèbre groupe DoNot APT – un groupe d'acteurs de menaces indien (vraisemblablement soutenu par l'État). L'activité récente de DoNot APT consiste à diffuser des logiciels espions via deux fausses applications Android apparues sur le Google Play Store. Il s'agit de l'application iKHfaa VPN et de l'application nSure Chat. Ces deux applications appartiennent au même développeur nommé “SecurITY Industry” sur le Play Store.
Une troisième application, “Device Basics Plus app” – un utilitaire d'aide à l'appareil fournissant à l'utilisateur des détails de base sur le système sur un seul écran, appartenait également aux mêmes développeurs. Mais elle ne présentait aucun comportement malveillant au moment de l'analyse.
En ce qui concerne l'application VPN iKHfaa, l'application semblait légitime car elle offrait la fonctionnalité VPN de base comme elle le prétendait. Cependant, elle demandait des autorisations explicites pour l'appareil, y compris la localisation de l'appareil et la liste des contacts, ce qui a alarmé les chercheurs. De plus, la section “À propos” de l'application affichait le nom réel de l'application (Liberty VPN – une application VPN légale) que les acteurs de la menace ont utilisé pour concevoir leur application VPN malveillante.
De même, l'application nSure Chat a également demandé des autorisations similaires, et l'analyse de l'application a révélé les similitudes troublantes des codes malveillants entre les deux applications. Les deux applis transmettaient les données volées de l'appareil aux C&C des attaquants.
L'analyse technique détaillée de cette campagne et des apps malveillantes est disponible dans le rapport des chercheurs.
La menace persiste toujours…
Apparemment, cette campagne semble cibler les utilisateurs d'Android au Pakistan. Cependant, les détails concernant les victimes et la manière dont ce logiciel espion a été diffusé aux victimes visées restent flous.
À l'heure où nous écrivons cette histoire, l'application iKHfaa VPN semble supprimée du Google Play Store. Cependant, les applications nSure Chat et Device Basics Plus existent toujours, ce qui indique que la menace n'est pas terminée.
Bien que les applications affichent un très petit nombre de téléchargements, il est tout de même judicieux que les utilisateurs d'Android analysent leurs appareils pour détecter la présence éventuelle de l'une de ces applications. Et si elles sont détectées, les utilisateurs doivent les supprimer immédiatement, puis procéder à une analyse antivirus robuste, afin d'éliminer la menace.
Fais-nous part de tes réflexions dans les commentaires.
