ESET Research : des applis du groupe GREF (lié à la Chine), se font passer pour Signal et Telegram et attaquent l’Europe et les US
Publié le 30/08/2023 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
● ESET Research a découvert des applis trojanisées Signal et Telegram pour Android, appelées Signal Plus Messenger et FlyGram, sur Google Play et Samsung Galaxy Store ; ces applis ont ensuite été supprimées de Google Play.
● Signal Plus Messenger est le premier cas documenté d'espionnage des communications Signal d'une victime en liant automatiquement et en secret l'appareil compromis à l'appareil Signal de l'attaquant.
● Le code malveillant trouvé dans ces applis est attribué à la famille de maliciels BadBazaar, utilisée dans le passé par le groupe APT GREF, lié à la Chine.
● Des milliers d'utilisateurs ont téléchargé les applis. La télémétrie d’ESET a signalé des détections sur des appareils Android dans plusieurs pays de l'UE, aux US, en Ukraine et ailleurs dans le monde.
● Le maliciel BadBazaar a déjà ciblé les Ouïghours et d'autres minorités ethniques turques. Le malware FlyGram a également été trouvé dans le groupe Uyghur Telegram. Ceci correspond au précédent ciblage par la famille de maliciels BadBazaar.

BRATISLAVA, le 30 août 2023 — Des chercheurs d'ESET ont identifié deux campagnes actives ciblant les utilisateurs d'Android, dans lesquelles les acteurs de la menace derrière les outils Telegram et Signal font partie du groupe APT GREF, lié à la Chine. Les campagnes, fort probablement actives respectivement depuis juillet 2020 et juillet 2022, ont distribué le code d'espionnage Android BadBazaar via Google Play Store, Samsung Galaxy Store et des sites Web dédiés se faisant passer pour des applis de chat cryptées légitimes. Ces applis malveillantes sont FlyGram et Signal Plus Messenger. Les auteurs de la menace ont obtenu les fonctionnalités des fausses applis Signal et Telegram en corrigeant les applis open source Signal et Telegram pour Android avec un code malveillant. Signal Plus Messenger est le premier cas documenté d'espionnage des communications Signal des victimes et des milliers d'utilisateurs ont téléchargé ces applis. La télémétrie ESET a signalé des détections sur des appareils Android dans plusieurs pays de l'UE, aux US, en Ukraine et dans d'autres pays. Les deux applis ont ensuite été supprimées de Google Play.

"Un code malveillant de la famille BadBazaar a été caché dans les applis Signal et Telegram trojanisées. Celles-ci offrent aux victimes une expérience d'appli fonctionnelle mais avec de l’espionnage en arrière-plan", explique Lukáš Štefanko, chercheur d'ESET, qui a fait la découverte. "Le seul but de BadBazaar est d'exfiltrer des informations de l'appareil, la liste de contacts, les journaux d'appels et la liste des applis installées. Il espionne les messages Signal en reliant secrètement l'appli Signal Plus Messenger de la victime à l'appareil de l'attaquant", ajoute-t-il.

La télémétrie d’ESET signale des détections dans les pays suivants : Australie, Brésil, Danemark, République Démocratique du Congo, Allemagne, Hong Kong, Hongrie, Lituanie, Pays-Bas, Pologne, Portugal, Singapour, Espagne, Ukraine, USA et Yémen. En outre, un lien vers FlyGram dans la boutique Google Play a également été trouvé dans le groupe Uyghur Telegram. Les applis de la famille de maliciels BadBazaar ont déjà été utilisées contre les Ouïghours et d’autres minorités ethniques turques en dehors de Chine.

En tant que partenaire de Google App Defense Alliance, ESET a identifié la version la plus récente de Signal Plus Messenger comme malveillante et a rapidement partagé ses conclusions avec Google. Suite à cette alerte, l'appli a été supprimée. Les deux applis ont été créées par le même développeur et partagent les mêmes fonctionnalités malveillantes. Les descriptions des applis sur les deux magasins se réfèrent au même site de développement.

Après le démarrage initial de l'appli, l'utilisateur doit se connecter à Signal Plus Messenger via la fonctionnalité Signal légitime, comme il le ferait avec l'appli Signal pour Android officielle. Une fois connecté, Signal Plus Messenger communique avec son serveur de commande et de contrôle (C&C). Signal Plus Messenger peut espionner les messages Signal en utilisant la fonction « connecter le périphérique ». Il connecte alors automatiquement l’appareil compromis à l’appareil Signal de l’attaquant. Cette façon d’espionner est unique : les chercheurs d’ESET n’ont jamais vu cette fonctionnalité utilisée à mauvais escient par d’autres maliciels. C’est aussi la seule méthode permettant à l’attaquant d’obtenir le contenu des messages Signal. ESET Research a informé les développeurs de Signal de ce problème.

L’utilisation de la fausse appli Telegram, FlyGram, exige que la victime se connecte via sa fonctionnalité Telegram légitime, comme pour l'appli officielle Telegram. Avant la fin de la connexion, FlyGram commence à communiquer avec le serveur C&C et BadBazaar peut alors exfiltrer les informations sensibles de l'appareil. FlyGram peut accéder aux sauvegardes Telegram si l'utilisateur a activé une fonctionnalité spécifique ajoutée par les attaquants ; celle-ci a été activée par au moins 13 953 comptes d’utilisateurs. Le serveur proxy de l’attaquant peut enregistrer certaines métadonnées, mais il ne peut ni décrypter les données ni les messages réels échangés dans Telegram. Contrairement à Signal Plus Messenger, FlyGram ne peut pas lier un compte Telegram à l'attaquant ni intercepter les communications cryptées de ses victimes.

Pour plus d'informations techniques sur les dernières campagnes de GREF concernant BadBazaar et les applis d'espionnage trojanisées, consultez le blog “BadBazaar espionage tool targets Android users via trojanized Signal and Telegram apps” www.welivesecurity.com. Suivez aussi ESET Research sur X (Twitter) ESET Research on X (Twitter) pour les dernières nouvelles à propos d'ESET Research.

Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/

Poster un commentaire
Vous devez être identifié pour accéder à cette fonctionnalité

Utilisateur
Mot de passe
 
Informaticien.be - © 2002-2024 AkretioSPRL  - Generated via Kelare
The Akretio Network: Akretio - Freedelity - KelCommerce - Votre publicité sur informaticien.be ?