Des individus et des organisations tibétains, ouïghours et taïwanais sont la cible d’une campagne persistante orchestrée par un acteur menaçant nommé MalBambou pour recueillir des informations sensibles.
« L’attaquant a créé de faux sites Web tibétains, ainsi que des profils de réseaux sociaux, probablement utilisés pour déployer des exploits basés sur un navigateur contre des utilisateurs ciblés », ont déclaré Callum Roxan, Paul Rascagneres et Thomas Lancaster, chercheurs en sécurité chez Volexity. rapport publié la semaine dernière.
« En partie en usurpant l’identité de communautés populaires existantes, l’attaquant a créé des communautés sur des plateformes en ligne, telles que Telegram, pour faciliter la distribution de ses logiciels malveillants. »
EvilBamboo, anciennement suivi par la société de cybersécurité sous le nom d’Evil Eye, a été associé à plusieurs vagues d’attaques. depuis au moins 2019, l’acteur malveillant tirant parti des attaques par points d’eau pour diffuser des logiciels espions ciblant les appareils Android et iOS. Il est également connu sous le nom de Earth Empusa et POISON CARP.
Les intrusions dirigées contre le système d’exploitation mobile d’Apple ont exploité une vulnérabilité alors de type jour zéro dans le moteur de navigateur WebKit qui a été corrigée par Apple début 2019 pour fournir une souche de logiciel espion appelée Insomnia. Meta, en mars 2021, a déclaré avoir détecté l’acteur malveillant abusant de ses plates-formes pour distribuer des sites Web malveillants hébergeant le logiciel malveillant.
Le groupe est également connu pour utiliser des logiciels malveillants Android tels que ActionSpy et PluginPhantom pour récolter des données précieuses sur des appareils compromis sous le couvert d’applications de dictionnaire, de clavier et de prière mises à disposition sur des magasins d’applications tiers.
Les dernières découvertes de Volexity attribuent à EvilBamboo trois nouveaux outils d’espionnage Android, à savoir BADBAZAAR, BADSIGNAL et BADSOLAR, dont le premier a été documenté par Lookout en novembre 2022.
Un rapport ultérieur d’ESET le mois dernier a détaillé deux applications trojanisées se faisant passer pour Signal et Telegram sur le Google Play Store pour inciter les utilisateurs à installer BADSIGNAL. Alors que la société slovaque de cybersécurité a attribué le faux à la famille BADBAZAAR, citant des similitudes de code, Volexity a déclaré : « ils semblent également diverger dans leur développement et leurs fonctionnalités ».
Les chaînes d’attaque utilisées pour distribuer les familles de logiciels malveillants impliquent l’utilisation de forums de partage d’APK, de faux sites Web faisant la publicité de Signal, Telegram et WhatsApp, de chaînes Telegram dédiées au partage d’applications Android et d’un ensemble de faux profils sur Facebook, Instagram, Reddit, X (anciennement Twitter) et YouTube.
« Les variantes Telegram implémentent les mêmes points de terminaison API que les variantes Signal pour collecter des informations à partir de l’appareil et elles implémentent un proxy », ont déclaré les chercheurs, ajoutant qu’ils avaient identifié des points de terminaison indiquant l’existence d’une version iOS de BADSIGNAL.
L’une des chaînes Telegram aurait également contenu un lien vers une application iOS nommée TibetOne qui n’est plus disponible dans l’App Store d’Apple.
Combattez l’IA avec l’IA – Combattez les cybermenaces avec des outils d’IA de nouvelle génération
Prêt à relever les nouveaux défis de cybersécurité basés sur l’IA ? Rejoignez notre webinaire perspicace avec Zscaler pour répondre à la menace croissante de l’IA générative dans la cybersécurité.
Les messages partagés via les groupes Telegram ont également été utilisés pour distribuer des applications dérobées avec le malware BADSOLAR ainsi que des liens piégés qui, lorsqu’ils sont visités, exécutent du JavaScript malveillant pour profiler et empreinter le système.
Alors que BADBAZAAR est principalement utilisé pour cibler les Ouïghours et d’autres personnes de confession musulmane, BADSOLAR semble être principalement utilisé avec des applications sur le thème tibétain. Cependant, les deux souches intègrent leurs capacités malveillantes sous la forme d’une deuxième étape récupérée à partir d’un serveur distant.
Le malware de deuxième étape de BADSOLAR est également une branche d’un cheval de Troie d’accès à distance Android open source appelé AndroRAT. BADSIGNAL, en revanche, regroupe toutes ses fonctions de collecte d’informations dans le package principal lui-même.
« Ces campagnes reposent en grande partie sur l’installation par les utilisateurs d’applications détournées, ce qui souligne à la fois l’importance d’installer uniquement des applications provenant d’auteurs de confiance et le manque de mécanismes de sécurité efficaces pour empêcher les applications détournées d’accéder aux magasins d’applications officiels », ont déclaré les chercheurs.
« La création par EvilBamboo de faux sites Web, et de profils adaptés aux groupes spécifiques qu’ils ciblent, a été un aspect clé de leurs opérations, leur permettant de créer des communautés de confiance qui offrent de nouvelles possibilités pour cibler des individus avec leurs logiciels espions ou à des fins d’exploitation. »