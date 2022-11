Des pirates introduisent des logiciels malveillants dans les applications VPN pour Android, préviennent les chercheurs en sécurité.



Les chercheurs de la société de cybersécurité ESET ont découvert une campagne active de logiciels malveillants Android qui a débuté en janvier 2022. La campagne en question distribue des logiciels espions injectés dans des applications VPN légitimes. Les chercheurs ont lié cette campagne à un groupe de menaces persistantes avancées (APT) connu sous le nom de "Bahamut".







Bahamut est actif depuis au moins 2017, date à laquelle il a été identifié pour la première fois. Le groupe APT mène des activités de cyberespionnage principalement au Moyen-Orient et en Asie du Sud, s'efforçant de voler des informations sensibles à la demande de clients payants. Bahamut a développé son propre logiciel espion, qu'il a emballé avec de fausses applications dans le passé. Cependant, le groupe a plus récemment reconditionné des applications légitimes en ajoutant son logiciel espion au code.







Les chercheurs d'ESET ont constaté que Bahamut injecte son malware dans les applications SoftVPN et OpenVPN, qui sont toutes deux des applications VPN légitimes. Les versions de ces applications disponibles sur le Google Play Store sont les versions légitimes et non malveillantes de ces applications. Cependant, Bahamut a exploité un site Web VPN frauduleux, où il distribue ses propres versions de ces applications avec son logiciel espion personnalisé. Bien que ce site ne soit plus accessible au nom de domaine identifié par les chercheurs, il contenait un bouton de téléchargement sur lequel les visiteurs pouvaient cliquer pour télécharger un fichier APK malveillant.







Les chercheurs d'ESET ont découvert que le groupe APT utilisait un modèle web de VPN gratuit sur son site web frauduleux. Bahamut a personnalisé ce modèle en empruntant le logo de SoftVPN et en le combinant avec le nom d'un autre service VPN légitime, SecureVPN. Le fichier APK malveillant disponible en téléchargement sur le site Web portait également ce même nom. Les chercheurs d'ESET ont identifié au moins huit versions des deux applications VPN malveillantes proposées par Bahamut dans le cadre de cette campagne, ce qui signifie que le groupe de menace a activement mis à jour son logiciel espion au cours de cette année. Les chercheurs pensent que Bahamut est passé de l'injection de son spyware dans SoftVPN à OpenVPN parce que les développeurs de SoftVPN ont cessé de maintenir l'application, qui a fini par perdre sa fonctionnalité VPN légitime.



Le spyware Bahamut injecté dans ces applications VPN est une mauvaise nouvelle. Le spyware demande l'autorisation d'utiliser les services d'accessibilité qui, s'ils sont autorisés par l'utilisateur, permettent au spyware de contrôler entièrement l'appareil infecté. Le logiciel espion peut tirer parti de ce contrôle pour exfiltrer des informations sensibles, notamment des contacts, des SMS, des journaux d'appels, la localisation de l'appareil, des appels téléphoniques enregistrés et des messages dans des applications populaires telles que Signal, WhatsApp et Telegram. Les utilisateurs ayant installé les applications SoftVPN, OpenVPN et SecureVPN sur leur téléphone doivent vérifier que ces applications ont été installées via le Google Play Store, où se trouvent les versions légitimes de ces applications, et non à partir de fichiers APK éventuellement malveillants téléchargés sur le Web.



HOTHARDWARE