Technologie : ESET a découvert un nouveau logiciel espion Android du groupe APT-C-23 déguisé en Threema et Telegram

Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont analysé une nouvelle version du logiciel espion Android utilisé par APT-C-23, un groupe de pirates actif depuis au moins 2017 qui cible principalement le Moyen-Orient. Le nouveau logiciel espion, détecté par les produits de sécurité ESET sous le nom d’Android/SpyC23.A, s’appuie sur des versions précédemment signalées et comporte des fonctionnalités d’espionnage étendues, de nouvelles fonctions de furtivité, et un mécanisme de communications de commande et de contrôle (C&C) actualisé. Il est notamment diffusé via une fausse boutique d’applications Android, en se faisant passer pour des applications de messagerie bien connues, telles que Threema et Telegram, en guise de leurre.

Les chercheurs d’ESET ont commencé à enquêter sur le malware lorsqu’un collègue chercheur a tweeté un échantillon de malware Android inconnu et très peu détecté en avril 2020. «Une analyse collaborative a montré que ce malware faisait partie de l’arsenal d’APT-C-23. C’est une nouvelle version améliorée de son logiciel espion mobile», explique Lukáš Štefanko, le chercheur d’ESET qui a analysé Android/SpyC23.A.

Le logiciel espion a été découvert dans des applications apparemment légitimes dans une fausse boutique d’applications Android. «Lorsque nous l’avons analysé, la fausse boutique contenait à la fois des applications malveillantes et saines. Le malware se cachait dans des applications se faisant passer pour AndroidUpdate, Threema et Telegram. Dans certains cas, les victimes se retrouvent avec le malware et l’application usurpée installés», ajoute M. Štefanko.

Après l’installation, le malware demande une série d’autorisations sensibles, déguisées en fonctions de sécurité et de confidentialité. «Les pirates utilisent des techniques d’ingénierie sociale pour tromper les victimes et les conduire à octroyer différents privilèges sensibles au malware. Par exemple, la permission de lire les notifications est présentée comme étant une fonction de chiffrement des messages», précise M. Štefanko.

Une fois initialisé, le malware est en mesure d’effectuer ses activités d’espionnage en fonction des commandes émises par son serveur de C&C. Outre l’enregistrement audio, l’exfiltration des journaux d’appels, des SMS et des contacts, et le vol de fichiers, la nouvelle version Android/SpyC23.A est également mesure de lire les notifications des applications de messagerie, effectuer des captures d’écran, enregistrer les appels, et masquer les notifications de certaines applications de sécurité Android intégrées. La communication C&C du malware a également été mise à jour, rendant le serveur de C&C plus difficile à identifier pour les chercheurs en sécurité.

Le groupe APT-C-23 utilise à la fois des composants Windows et Android pour ses activités. Les composants Android ont été décrits pour la première fois en 2017 par Qihoo 360 Technology sous le nom de «Two-tailed Scorpion». Depuis lors, plusieurs analyses des malwares mobiles d’APT-C-23 ont été publiées. Android/SpyC23.A, qui est la dernière version du logiciel espion du groupe, comporte plusieurs améliorations qui le rendent encore plus dangereux pour ses victimes.

«Pour se protéger des logiciels espions, nous conseillons aux utilisateurs d’Android de n’installer que des applications provenant de la boutique officielle Google Play, de vérifier les autorisations demandées, et d’utiliser une solution de sécurité mobile fiable et à jour, » ajoute Benoît Grunemwald, Expert en Cyber-sécurité chez ESET France et Afrique francophone.

Pour plus de détails techniques sur ce logiciel espion, lisez l’article «APT-C-23 group evolves its Android spyware» sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.

CONTACTS PRESSE :
Darina SANTAMARIA : +33 01 86 27 00 39 – darina.j@eset-nod32.fr
Ines KHELIFI : +33 01 55 89 29 30 – ines.k@eset-nod32.fr

Scoop Newsletter

Nos dernières actualités directement dans votre boîte email. C'est gratuit !

À ne pas rater

Technologie : Quelle option de verrouillage de votre smartphone est la plus sûre ?

Par ESET.Du simple code PIN à l'authentification biométrique, il existe de nombreuses options pour verrouiller votre téléphone. Mais lesquelles...

64ième session ordinaire de la conférence générale de l’AIEA à Vienne : José Mpanda toujours déterminé pour le redémarrage du réacteur Trico II

Le ministre de la Recherche Scientifique et Innovation Technologique, José Mpanda Kabangu,  participe à la 64ième session ordinaire de la conférence générale de l’Agence...

Richard Marko, PDG d’ESET, membre du jury du concours Apps 4 Digital Peace

Richard Marko, PDG d'ESET, 1er éditeur Européen de solutions de sécurité, a été invité être juge lors du premier concours Apps 4 Digital Peace organisé...

Recherche scientifique : l’INERA doté des équipements de laboratoire pour la détection des virus et le diagnostic des maladies des plantes

Par Ginno Lungabu.A travers son projet «Cassava Brown Streak Disease», CBSD, financé par l'Agence Internationale de Développement...

Rentrée scolaire 2020 : ESET vous donne à travers une série d’infographies les clés pour protéger les activités en ligne de vos enfants

La rentrée scolaire de 2020 ne ressemblera à aucune autre. Qu'elle se déroule à l'école, physiquement, ou virtuellement, il est essentiel que les élèves, les...

À la une

RDC-Politique : le FCC fait du buzz à Show Buzz sans buzz !

Coincé par la décision du chef de l'État de recevoir les serments des nouveaux membres de la Cour constitutionnelle ce mercredi 21 octobre...

RDC-Politique : persistance du bras de fer entre le Président de la République et le Parlement !

Annoncée pour ce mercredi 21 octobre au Palais du peuple, la prestation de serment de nouveaux juges constitutionnels vient d'être une fois de...

Eclairage public à Kinshasa : Ngobila sommé de justifier la taxe perçue pour la province par la SNEL

Qui du gouvernement provincial ou de la Société Nationale d’Electricité (SNEL) utilise l’argent de la taxe sur l’éclairage public payée par les...

Médias : Didier Mbuy propose deux formats de JT à la RTNC en vue de respecter journalistiquement les téléspectateurs !

Chef de travaux et doctorant, Didier Mbuy est depuis des années enseignant de journalisme à l’Institut Facultaire de Sciences de l’Information et...

Kisangani : Affrontement entre les militaires nouvelles recrues et la population à Lubunga

Les militaires nouvelles recrues du camp Lukusa et la population se sont affrontés, ce lundi 19 Octobre 2020 dans l'avant-midi, dans la commune...