Attention, de fausses versions de Telegram et Threema embarquent un dangereux malware

Publié le

Depuis 2017, un groupe de hackers nommé APT-C-23 utilise un logiciel espion connu sous le nom de d’Android/SpyC23a. Une nouvelle version de ce dangereux malware serait actuellement distribuée dans de fausses applications Android utilisant l’identité visuelle de services populaires tels que Threema ou encore Telegram.

Un faux Télégram sur une boutique d’applications non officielle

Cette nouvelle version a été repérée dans un premier temps par un chercheur de @malwrhunterteam en avril dernier. A cette époque, le logiciel n’était pas reconnu par tous les antivirus. Par la suite, une analyse collaborative avec ESET a démontré que ce malware faisait partie de l’arsenal malveillant d’APT-C-23. Selon Lukáš Štefanko, chercheur chez ESET, Il s’agit d’une version améliorée du logiciel espion Android/SpyC23.A.

Le spyware est distribué par le biais d’une boutique d’applications alternative sur la toile. Il a été “découvert dans des applications apparemment légitimes” proposées sur cette boutique. La plateforme en question proposait à la fois des applications saines et malveillantes selon Štefanko. Les chercheurs ont démontré par la suite que le spyware se faisait passer pour trois applications : AndroidUpdate, Threema et Telegram.

Crédits : ESET

Lorsque la victime installe l’une de ces applications, le malware demande une série d’autorisations en faisant mine de proposer des fonctions de sécurité et de confidentialité. Il s’agit ni plus ni moins d’une technique d’ingénierie sociale par laquelle les pirates tentent de convaincre les utilisateurs de leur donner accès aux paramètres sensibles de leur appareil.

Une fois que la victime a autorisé les requêtes du logiciel, ce dernier va commencer à recevoir des commandes émises par un serveur à distance. Les pirates sont ainsi capables de déclencher des enregistrements audios, et récupérer des données personnelles (sms, liste de contacts, fichiers, journaux d’appels, etc.).

Selon ESET, cette nouvelle version du spyware est en mesure de lire les notifications des applications de messagerie, de masquer des alertes système et de réaliser des captures d’écran à l’insu de la victime.

Comment se protéger ?

Le groupe de hackers à l’origine de ce spyware cible surtout les utilisateurs du Moyen-Orient. Toutefois, le mode de distribution utilisé par ces cybercriminels montre que tout le monde peut être touché. Le spyware imite des applications populaires et son installeur est directement proposé sur la toile via des plateformes non-officielles. Pour se prémunir, il convient d’éviter de télécharger des applications via des canaux non-officiels ou peu sécurisés.

Sachez que Logitheque analyse systématiquement les fichiers proposés au téléchargement et ne modifie pas les installeurs officiels. Nous vous recommandons également de vérifier systématiquement les autorisations demandées par les applications au moment de l’installation, même lorsque vous les téléchargez depuis le Google Play Store. En effet, même la boutique officielle de Google est sujette aux logiciels malveillants.

Source : ESET

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Autres articles sur le même sujet