Une campagne de logiciels espions en cours surnommée « PhoneSpy » cible les utilisateurs sud-coréens via une gamme d’applications de style de vie qui s’imbriquent dans l’appareil et exfiltrent silencieusement les données.
La campagne déploie un puissant malware Android capable de voler des informations sensibles aux utilisateurs et de s’emparer du microphone et de la caméra de l’appareil.
Les chercheurs de Zimperium qui a découvert la campagne a signalé ses conclusions aux autorités américaines et sud-coréennes, mais l’hôte qui prend en charge le serveur C2 n’a pas encore été supprimé.
Caché dans les applications « inoffensives »
Le logiciel espion « PhoneSpy » se présente sous la forme d’une application compagnon de yoga, de l’application de messagerie Kakao Talk, d’un navigateur de galerie d’images, d’un outil de retouche photo, etc.
Zimperium a identifié 23 applications lacées qui apparaissent comme des applications de style de vie inoffensives, mais en arrière-plan, les applications fonctionnent tout le temps, espionnant silencieusement l’utilisateur.
Pour ce faire, les applications demandent à la victime d’accorder de nombreuses autorisations lors de l’installation, qui est la seule étape où les utilisateurs prudents remarqueraient des signes de problème.
Source : Zimperium
Le logiciel espion qui se cache dans les applications masquées peut effectuer les actions suivantes sur un appareil compromis :
- Récupérez la liste complète des applications installées
- Désinstaller n’importe quelle application sur l’appareil
- Installez des applications en téléchargeant des APK à partir des liens fournis par C2
- Voler des identifiants à l’aide d’URL de phishing envoyées par C2
- Voler des images (de la mémoire interne et de la carte SD)
- Surveillance de la position GPS
- Voler des SMS
- Voler des contacts téléphoniques
- Voler les journaux d’appels
- Enregistrez l’audio en temps réel
- Enregistrez des vidéos en temps réel à l’aide des caméras avant et arrière
- Accédez à l’appareil photo pour prendre des photos à l’aide des appareils photo avant et arrière
- Envoyer un SMS à un numéro de téléphone contrôlé par l’attaquant avec un texte contrôlé par l’attaquant
- Exfiltrez les informations de l’appareil (IMEI, marque, nom de l’appareil, version Android)
- Dissimulez sa présence en masquant l’icône du tiroir/menu de l’appareil
L’éventail des données volées est suffisamment large pour prendre en charge presque toutes les activités malveillantes, de l’espionnage des conjoints et des employés au cyberespionnage d’entreprise et au chantage des personnes.
Outre la fonctionnalité de logiciel espion, certaines applications tentent également activement de voler les informations d’identification des personnes en affichant de fausses pages de connexion pour divers sites.
Les modèles d’hameçonnage utilisés dans la campagne PhoneSpy imitent les portails de connexion aux comptes Facebook, Instagram, Kakao et Google.
Source : Zimperium
Distribution d’applications lacées
Le canal de distribution initial des applications associées est inconnu et les auteurs de la menace n’ont pas téléchargé les applications sur le Google Play Store.
Il pourrait être distribué via des sites Web, des magasins APK obscurs, des médias sociaux, des forums ou même des webhards et des torrents.
Une méthode de distribution potentielle peut être via SMS envoyé par l’appareil compromis à sa liste de contacts puisque le logiciel malveillant est capable.
L’utilisation de SMS augmente les chances que les destinataires cliquent sur le lien qui mène au téléchargement des applications liées car il provient d’une personne qu’ils connaissent et en qui ils ont confiance.
Source : Zimperium
Si vous pensez avoir téléchargé une application risquée contenant un logiciel espion, supprimez-la immédiatement, puis exécutez un scanner AV pour nettoyer votre appareil de tout résidu.
Dans les cas où la confidentialité et la sécurité sont impératives, effectuez une réinitialisation d’usine sur l’appareil.