Posté le juillet 30, 2023 à 5:53

DES HACKERS EXPLOITENT UNE FAUSSE APPLICATION DE CHAT ANDROID POUR VOLER DES DONNÉES D’UTILISATEURS DE SIGNAL ET DE WHATSAPP

Des hackers ont utilisé une fausse application Android connue sous le nom de « SafeChat » pour mener des attaques de piratage contre des appareils Android. Ces appareils sont la cible de logiciels malveillants espions qui volent les journaux d’appels, les textes et les localisations GPS des téléphones des utilisateurs.

Des hackers exploitent une fausse application de chat Android pour voler des données d’utilisateurs

Le logiciel espion Android en question serait une variante d’un autre logiciel malveillant connu sous le nom de « Coverlm ». Ce dernier est un logiciel malveillant qui vole des données situées au sein de plateformes de communication telles que Facebook Messenger, Signal, Telegram, WhatsApp et Viber.

La campagne de piratage menée à l’aide de la fausse application Android SafeChat a été révélée par des chercheurs de CYFIRMAx. Selon ces chercheurs, le piratage a été mené par un groupe de hackers APT indien connu sous le nom de Bahamut.

Les dernières campagnes de hackers menées par ce groupe de hackers se font en grande partie par le biais de messages de spearphishing qui sont envoyés aux utilisateurs sur WhatsApp. Ces messages frauduleux contiennent des charges utiles malveillantes qui sont envoyées directement à la victime pour déclencher l’attaque.

Les analystes de CYFIRMA ont par ailleurs mentionné plusieurs similitudes entre les actions menées par ce groupe de hackers et un groupe d’acteurs de menaces parrainé par l’État Indien, connu sous le nom de « DoNot APT » ou APT-C-35. Le groupe de hackers a précédemment lancé des campagnes sur Google Play Store en référençant des application de chat malveillantes sur la place de marché. Ces applications de chat sont utilisées comme des logiciels espions pour surveiller l’activité d’un appareil.

Vers la fin de l’année dernière, un rapport des chercheurs d’ESET indiquait que le groupe d’acteurs de la menace Bahamut utilisait de fausses applications VPN sur la plateforme Android. Certaines de ces applications étaient dotées d’un large éventail de capacités d’espionnage permettant à l’acteur de la menace d’obtenir l’accès à l’appareil ciblé.

Lors de la récente campagne de hackers détectée par les chercheurs de CYFIRMA, le groupe d’acteurs de menaces Bahamut a ciblé des individus situés en Asie du Sud. La stratégie d’attaque montre que le groupe de hackers pourrait avoir un intérêt direct pour la région de l’Asie du Sud.

Une campagne de phishing avec une fausse application de chat

Les chercheurs de CYFIRMA n’ont pas donné de détails spécifiques sur la nature de l’ingénierie sociale de cette campagne de piratage. Cependant, il est généralement courant que les victimes impliquées dans ce type d’attaques soient incitées à installer une fausse application de chat qui leur cause ensuite du tort ou permet à un hacker d’accéder à des informations auxquelles elles ne devraient pas nécessairement avoir accès.

Dans la plupart des cas, les victimes de ces campagnes sont incitées à installer ces fausses applications après que les acteurs de la menace les ont informées qu’ils allaient transférer la conversation vers une plateforme plus sûre. Cependant, cela n’arrive jamais car une fois que l’utilisateur suit le lien, ses informations sont infiltrées.

Les chercheurs ont également indiqué que l’application Safe Chat est dotée d’une interface qui semble authentique et qui présente les mêmes caractéristiques qu’une véritable application de chat. L’application conduit la victime à travers un processus d’enregistrement de l’utilisateur qui semble factuel mais qui ne l’est pas en réalité. L’utilisation de cette interface authentique renforce la crédibilité de l’application et en fait un choix idéal pour un logiciel espion.

L’une des principales étapes du processus d’infection consiste à obtenir les autorisations nécessaires pour utiliser les services d’accessibilité de l’application. Ces services sont souvent utilisés de manière abusive pour donner au logiciel espion des autorisations supplémentaires sur l’appareil ciblé.

Ces autorisations supplémentaires permettent au logiciel espion d’accéder à la liste des contacts, aux SMS, aux journaux d’appels et au stockage externe de l’appareil de l’utilisateur. Le logiciel espion peut également accéder aux données de localisation GPS précises de la victime.

Safe Char invite en outre l’utilisateur à approuver l’exclusion du sous-système d’optimisation de la batterie sur l’appareil Android. Ce sous-système arrête les processus en arrière-plan lorsque l’utilisateur n’interagit pas activement avec l’application.

« Un autre extrait du fichier Android Manifest montre que l’auteur de la menace a conçu l’application pour qu’elle interagisse avec d’autres applications de chat déjà installées », ont déclaré les chercheurs de CYFIRMA. « L’interaction aura lieu en utilisant des intentions, la permission OPEN_DOCUMENT_TREE sélectionnera des répertoires spécifiques et accèdera aux applications mentionnées dans l’intention.

Les hackers s’appuient également sur un système d’exfiltration de données dédié qui transférera les données de l’appareil ciblé vers le serveur C2 de l’attaquant en utilisant le port 2053. Les données volées seront aussi à l’aide d’un module prenant en charge ECB, RSA et OAEPPadding. Le certificat « letsencrypt » sera également utilisé pour éviter l’interception des données du réseau.

La campagne de piratage utilise une autorité de certification similaire à celle du groupe de hackers DoNot APT, notamment les mêmes méthodes de vol de données, une portée de ciblage similaire et l’utilisation d’applications Android pour infecter les appareils ciblés.