Publié le 8 septembre 2021, modifié le 8 septembre 2021.
Par La Rédaction

Campagne d’espionnage mobile ciblée contre le groupe ethnique kurde

Publié le 8 septembre 2021, modifié le 8 septembre 2021.
Par La Rédaction
Creation : servicesmobiles©

Creation : servicesmobiles©

Cette campagne est active depuis au moins mars 2020, diffusant (via des profils Facebook dédiés) deux portes dérobées Android déguisées en applications légitimes, connues sous le nom de 888 RAT et SpyNote.

Ce n’est pas nouveau, les minorités peuvent être espionnées sans problème avec malheureusement pas beaucoup de sophistication dans l’attaque comme des attaques de phishing ciblées et de fausses boutiques d’applications tierces ! Il y a quelques mois, un rapport pointait la Chine, qui utilise un logiciel malveillant Android pour espionner les minorités ethniques dans le monde comme les musulmans ouïghours et d’autres minorités ethniques dans le monde avait signalé Lockout.

10 points à vérifier sur votre smartphone

Ce sont les chercheurs d’ESET qui a identifié six profils Facebook diffusant des applications d’espionnage sur Android, dans le cadre de cette campagne menée par le groupe BladeHawk. Les profils ont transmis les applications d’espionnage à des groupes publics Facebook, la plupart étant des partisans de Masoud Barzani, ancien président de la région du Kurdistan, une région autonome du nord de l’Irak. Au total, les groupes Facebook ciblés comptent plus de 11 000 abonnés.

Eset a signalé ces profils à Facebook, qui ont tous été supprimés depuis. Deux des profils visaient des technophiles, tandis que les quatre autres se faisaient passer pour des partisans du Kurdistan.

Campagne BladeHawk

Ils ont identifié 28 messages Facebook uniques qui contenaient des descriptions et des liens vers de fausses applications à partir desquels les chercheurs d’ESET ont pu télécharger 17 APK uniques. Certains des liens web pointaient directement vers l’application APK malveillante, tandis que d’autres pointaient vers le service de téléchargement top4top.io, qui mesure le nombre de téléchargements. Les applications d’espionnage ont été téléchargées 1 418 fois.

Il contenait des descriptions et des liens vers de fausses applications à partir desquels les chercheurs d’ESET ont pu télécharger 17 APK uniques. Certains des liens web pointaient directement vers l’application APK malveillante, tandis que d’autres pointaient vers le service de téléchargement top4top.io, qui mesure le nombre de téléchargements. Les applications d’espionnage ont été téléchargées 1 418 fois.

RAT

La plupart des publications Facebook malveillantes conduisaient à des téléchargements de 888 RAT, un produit commercial multiplateforme disponible sur le marché noir depuis 2018. 888 RAT sur Android est capable d’exécuter 42 commandes émises par son serveur de commande et de contrôle (C&C)

Un cheval de Troie d’accès à distance ou simplement et plus largement utilisé comme RAT est un programme malveillant qui comprend une porte dérobée pour le contrôle administratif de l’ordinateur cible. Les RAT sont généralement téléchargés de manière invisible avec un programme demandé par l’utilisateur, tel qu’un jeu, ou envoyés en pièce jointe d’un e-mail.

Une fois que le RAT atteint le système hôte, il est rapidement compromis et l’intrus peut l’utiliser pour distribuer des RAT à d’autres ordinateurs vulnérables et établir un botnet. Avec de tels logiciels malveillants, les acteurs malveillants pourraient distribuer des virus et affecter d’autres lecteurs formatés, supprimer, télécharger ou modifier des fichiers.

Les RAT peuvent être difficiles à détecter, car ils n’apparaissent généralement pas dans les listes de programmes en cours d’exécution. Afin de protéger votre système contre les RAT, maintenez le logiciel antivirus à jour et évitez de télécharger des programmes ou d’ouvrir des pièces jointes qui ne proviennent pas d’une source fiable.

Lire aussi