Des chercheurs d’ESET ont découvert de nouvelles activités liées à une campagne de cyberespionnage de longue date au Moyen-Orient, apparemment associées au groupe de pirates connus sous le nom de Gaza Hackers ou Molerats.
Une application Android, Welcome Chat, qui fait office de spyware tout en fournissant les fonctionnalités de chat promises, fait partie intégrante de la campagne. Le site web malveillant qui diffuse l’application prétend proposer une plateforme de chat sécurisée disponible dans la boutique Google Play. Ces affirmations ne sauraient être plus éloignées de la vérité, selon les chercheurs d’ESET, surtout en ce qui concerne la sécurité.
« En plus d’être un outil d’espionnage, Welcome Chat rend les données récoltées auprès de ses victimes librement accessibles sur Internet. Et l’application n’a jamais été disponible dans la boutique officielle de Google, » explique Lukáš Štefanko, le chercheur d’ESET qui a effectué l’analyse de Welcome Chat.
L’application Welcome Chat se comporte comme toute application de chat téléchargée en dehors de Google Play : il est nécessaire d’activer le paramètre « Autoriser l’installation d’applications depuis des sources inconnues ». Après l’installation, l’application demande l’autorisation d’envoyer et de consulter des SMS, d’accéder à des fichiers, d’enregistrer des fichiers audio, d’accéder aux contacts et à la géolocalisation de l’appareil. Immédiatement après avoir reçu les autorisations, Welcome Chat commence à recevoir des commandes de son serveur de commande et de contrôle (C&C), et elle lui transmet toute information récoltée. Outre les messages de chat, l’application vole des informations telles que les SMS envoyés et reçus, l’historique des appels, la liste des contacts, les photos, des enregistrements des appels téléphoniques et la localisation GPS de l’appareil.
« Malheureusement pour les victimes, l’application Welcome Chat, y compris son infrastructure, n’a pas été développée dans un souci de sécurité. Les données transmises ne sont pas chiffrées, et de ce fait, elles sont non seulement librement accessibles aux pirates, mais également à toute personne se trouvant sur le même réseau, » poursuit M. Štefanko.
Les chercheurs d’ESET ont essayé de déterminer si Welcome Chat est un détournement d’une application légitime, qui aurait été piratée par le groupe, ou un malware développé à des fins malveillantes. « Nous avons fait de notre mieux pour découvrir une version légitime de cette application, pour sensibiliser son développeur à ses vulnérabilités. Mais il semble qu’une telle application n’existe pas. Naturellement, nous n’avons fait aucune démarche pour joindre les auteurs de la campagne d’espionnage, » explique M. Štefanko.
L’application d’espionnage Welcome Chat appartient à une famille connue de malwares Android, qui partage l’infrastructure d’une campagne d’espionnage précédemment documentée appelée BadPatch, qui visait également le Moyen-Orient. BadPatch a été attribué au groupe de pirates Gaza Hackers, alias Molerats. Sur la base de ces éléments, nous pensons que cette campagne utilisant les nouveaux chevaux de Troie Android provient des mêmes auteurs.
Si l’opération d’espionnage utilisant Welcome Chat semble être étroitement ciblée, ESET déconseille fortement aux utilisateurs d’installer des applications en dehors de la boutique officielle Google Play, à moins qu’il ne s’agisse d’une source fiable, comme le site web d’un fournisseur de sécurité établi ou d’une institution financière réputée. Par ailleurs, les utilisateurs doivent faire attention aux autorisations requises par leurs applications et se méfier de toute application nécessitant des autorisations au-delà de ses fonctionnalités. Comme mesure de sécurité très élémentaire, les utilisateurs devraient également utiliser une application de sécurité réputée sur leurs appareils mobiles.
Pour plus de détails sur le spyware Welcome Chat, lisez l’article complet « Secure chat platform? Nothing could be further from the truth for Welcome Chat » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.
CONTACTS PRESSE
Darina SANTAMARIA : +33 01 86 27 00 39 – darina.j@eset-nod32.fr
Ines KHELIFI : +33 01 55 89 29 30 – ines.k@eset-nod32.fr