Encore des applications malveillantes distribuées sur le Google Play Store ? Et oui, ce sont des chercheurs en cybersécurité qui ont découvert le pot aux roses et cette fois, ces applis concernent directement la sécurité des comptes Signal et Telegram.
C'est loin d'être la première fois que Google Play Store est utilisé pour diffuser des applications malveillantes, mais le Samsung Galaxy Store est cette fois encore concerné. Les chercheurs en question ont mis en évidence plusieurs applications développées pour diffuser un logiciel espion baptisé BadBazaar sur les appareils compromis. Les hackers à l'origine de ce programme ciblent en particulier les utilisateurs de Signal et de Telegram.
Les applications qui cachent BadBazaar
C'est ESET, un leader de la cybersécurité en Slovaquie, qui a identifié cette nouvelle campagne de cyberattaques. Elle l'a attribuée à GREF, un acteur qui entretient des liens étroits avec la Chine et qui a été impliqué dans le passé dans des faits de cybercriminalité visant les Ouïghours et les minorités turques du pays. Active entre juillet 2020 et juillet 2022, cette campagne a permis la diffusion de BadBazaar à travers plusieurs applications malveillantes sur les stores Android.
On peut dire que cette vague d'attaques a visé large et de nombreux pays ont été concernés : l'Allemagne, la Pologne, l'Ukraine, les USA, le Brésil, l'Australie, le Danemark, la République démocratique du Congo, Hong-kong, la Lituanie, la Hongrie, les Pays-Bas, le Portugal, l'Espagne, le Yémen et Singapour.
BadBazaar, des fonctionnalités dangereuses
Ce logiciel malveillant a été identifié et documenté pour la première fois en novembre 2022, lorsqu'il a été utilisé pour collecter des données auprès de la communauté des Ouïghours. Distillé à travers des applications Android, il peut récupérer facilement SMS, journaux d'appels et autres données confidentielles sensibles.
Ces applications qui permettent la diffusion du code de BadBazaar sont notamment Signal Plus Messenger et FlyGram. En imitant les applications réelles (Signal et Telegram), elles trompent les utilisateurs qui les téléchargent et peuvent ainsi exfiltrer des données importantes : code PIN pour Signal et historique des discussions, si les victimes ont activé la fonction de synchronisation avec le cloud sur l'application piégée.
Doté déjà de capacités plutôt inquiétantes, Signal Plus Messenger est plutôt unique en son genre. Il s'agit du premier cas documenté ou un logiciel malveillant permet une liaison entre le compte Signal d'une victime et le compte d'un attaquant sans avoir besoin d'interaction de l'utilisateur. Si vous détenez ces applications, il faut prendre des mesures immédiates : supprimez-les directement de votre appareil !
Source : The Hacker News
