Des applications Android se faisant passer pour des VPN légitimes abritent un spyware capable de voler de nombreuses données personnelles, dont les SMS et messages échangés par les applications de messagerie instantanée.
Des chercheurs de la société spécialisée en cybersécurité ESET ont identifié une campagne malveillante de vol de données sévissant sur Android. Celle-ci est basée sur la distribution de fausses applications de VPN.
Un spyware caché dans une app légitime détournée
Le groupe de pirates Bahamut, bien connu des experts, serait à l'origine de cette campagne. Un site web nommé « TheSecureVPN », qui n'a rien à voir avec la plateforme légitime SecureVPN, servirait à hameçonner les utilisateurs en proposant des applications VPN pour Android à télécharger.
Au moins huit versions de ces applications ont été découvertes par ESET. Il s'agit à chaque fois d'applications basées sur SoftVPN ou OpenVPN, des apps légitimes, auxquelles est ajouté du code malveillant activant un spyware déjà utilisé par Bahamut dans le passé.
Il apparaît que les premières versions sont basées sur SoftVPN, mais que les pirates ont ensuite basculé vers OpenVPN, car le premier a cessé de fonctionner et d'être maintenu.
Accès aux messages et à des données critiques
Il semble que les victimes de ce spyware soient sélectionnées spécifiquement par les pirates, car une fois installée, l'application abritant le logiciel espion demande une clé d'activation, qui déverrouille à la fois la fonctionnalité de VPN et celle d'espionnage de l'utilisateur.
L'objectif principal du spyware est d'extraire des données sensibles telles que les contacts, les messages SMS, les journaux d'appels, l'emplacement de l'appareil, les appels téléphoniques enregistrés, la liste des applications installées, les informations de l'appareil utilisé ainsi que les comptes enregistrés.
Il est également capable d'exfiltrer les messages de chat échangés par l'intermédiaire d'applications de messagerie très populaires, dont Signal, Viber, WhatsApp, Telegram et Facebook Messenger. Comme d'autres malwares avant lui, il exploite des vulnérabilités liées aux services d'accessibilité d'Android pour agir comme un enregistreur de frappe.
Source : WeLiveSecurity