Les espions sur smartphone installent des logiciels malveillants qui peuvent fournir aux attaquants des informations sur presque toutes les activités effectuées sur l'appareil.
Une forme récemment découverte de malware Android sophistiqué est distribuée via des sites Web et des canaux Telegram compromis, apparemment dans un but de cyberespionnage.
Voir également
Ce malware Android a infecté 85 millions d'appareils et rapporte à ses créateurs 300 000 $ par mois
Les gangs derrière les logiciels malveillants gagnent de l'argent grâce aux applications frauduleuses, mais s'ils choisissent d'utiliser leur portée pour commettre des vols, les entreprises pourraient être mises en danger.
Lisez maintenantLe malware possède un large éventail de capacités et est capable d'espionner toute activité effectuée sur un smartphone infecté et porterait la marque d'une campagne soutenue par l'État.
Il peut voler des informations sur les contacts, les journaux d'appels, les images, les messages et les données du navigateur, ainsi que faire des enregistrements audio des appels passés à l'aide du téléphone, passer des appels en silence et exécuter le shell commandes.
Le malware contient une fonction d'enregistrement de frappe qui permet aux attaquants de voler des informations sensibles telles que les noms d'utilisateur et les mots de passe, ainsi que la possibilité de capturer des photos et des captures d'écran.
Découvert par chercheurs de la société de sécurité Kaspersky Lab et surnommée ZooPark, on pense que la campagne de cyberespionnage est en cours depuis au moins juin 2015, et se concentre sur des cibles au Moyen-Orient, notamment en Égypte, en Jordanie et au Liban.
Comment le malware a évolué.
Malgré la durée de la campagne, il n'y a pas eu un grand nombre d'infections, car les cibles semblent être spécialement sélectionnés et l'opération derrière les attaques peut consacrer du temps et des efforts à mener campagnes.
Voir également: Qu’est-ce qu’un malware? Tout ce que vous devez savoir sur les virus, chevaux de Troie et logiciels malveillants
"Avec nos statistiques de détection, nous avons observé moins de 100 cibles. Ceci et d'autres indices indiquent que les cibles sont spécifiquement sélectionnées", a déclaré à ZDNet Alexey Firsh, expert en sécurité chez Kaspersky Lab.
"Cette campagne est très ciblée, ce qui rend le malware très difficile à découvrir pour les chercheurs", a-t-il ajouté. "Le groupe dispose évidemment d'une vaste expérience dans les opérations de sécurité offensives et de beaucoup de ressources."
Les responsables de la campagne ont infecté des cibles avec plusieurs générations de logiciels malveillants au fil des ans, la quatrième et dernière version étant la version la plus avancée de la charge utile malveillante.
En plus de pouvoir exfiltrer les données des applications par défaut sur l'appareil, la dernière incarnation cible applications de messagerie telles que Telegram, WhatsApp et le navigateur Web Chrome avec des attaques qui peuvent voler des informations internes bases de données. Dans le cas du navigateur Web, cela signifie que toutes les informations d'identification qui y sont stockées seraient volées.
Les versions antérieures de ZooPark reposaient sur la distribution via les canaux Telegram. En plus de cela, les attaquants ont compromis des sites Web légitimes dans le but de distribuer les outils d'espionnage.
Voir également: Cyberguerre: un guide sur l'avenir effrayant des conflits en ligne
Kaspersky Lab n'a pas confirmé qui est derrière la campagne, à part que ZooPark partage les informations sophistiquées caractéristiques d'une campagne soutenue par l'État-nation - une campagne qui, dans ce cas, cible des activistes, pas une autre État.
« De plus en plus de personnes utilisent leurs appareils mobiles comme moyen de communication principal, voire parfois unique. Cela est certainement repéré par les acteurs parrainés par les États-nations, qui construisent leurs outils de manière à ce qu'ils soient suffisamment efficaces pour suivre les utilisateurs mobiles », a déclaré Firsh.
"L'APT ZooPark, qui espionne activement des cibles dans les pays du Moyen-Orient, en est un exemple, mais ce n'est certainement pas le seul."
Rien n’indique que cette campagne de cyberespionnage particulière ait cessé ses activités.
EN SAVOIR PLUS SUR LA CYBERCRIME
- Chafer: un groupe de piratage étend ses opérations d'espionnage avec de nouvelles attaques
- Pourquoi le malware Triton va « changer la donne » dans la cyberguerre [TechRépublique]
- Le cheval de Troie Android cible les transfuges nord-coréens et leurs partisans
- C'est le moyen le plus simple de prévenir les logiciels malveillants sur votre appareil Android [CNET]
- Un groupe de piratage a utilisé des leurres de Facebook pour inciter les victimes à télécharger des logiciels espions Android