Les lecteurs parlant ourdou d’un site d’information régional qui s’adresse à la région du Gilgit-Baltistan sont probablement apparus comme la cible d’une attaque de point d’eau conçue pour diffuser un logiciel espion Android jusqu’alors non documenté baptisé Kamran.
La campagne, ESET a découvertexploite Hunza News (urdu.hunzanews[.]net), qui, lorsqu’il est ouvert sur un appareil mobile, invite les visiteurs de la version ourdou à installer son application Android directement hébergée sur le site.
L’application intègre cependant des capacités d’espionnage malveillantes, l’attaque compromettant à ce jour au moins 20 appareils mobiles. Il est disponible sur le site Web entre le 7 janvier et le 21 mars 2023, à peu près à la date à laquelle manifestations massives ont eu lieu dans la région à propos des droits fonciers, de la fiscalité et des coupures d’électricité importantes.
Le malware, activé lors de l’installation du package, demande des autorisations intrusives, lui permettant de récolter des informations sensibles sur les appareils.
Cela inclut les contacts, les journaux d’appels, les événements du calendrier, les informations de localisation, les fichiers, les messages SMS, les photos, la liste des applications installées et les métadonnées de l’appareil. Les données collectées sont ensuite téléchargées sur un serveur de commande et de contrôle (C2) hébergé sur Firebase.
Kamran ne dispose pas de capacités de contrôle à distance et est également de conception simpliste, effectuant ses activités d’exfiltration uniquement lorsque la victime ouvre l’application et manquant de dispositions pour garder une trace des données déjà transmises.
Cela signifie qu’il envoie à plusieurs reprises les mêmes informations, ainsi que toute nouvelle donnée répondant à ses critères de recherche, au serveur C2. Kamran n’a encore été attribué à aucun acteur ou groupe menaçant connu.
« Comme cette application malveillante n’a jamais été proposée via le Google Play Store et est téléchargée à partir d’une source non identifiée appelée inconnue par Google, pour installer cette application, l’utilisateur est invité à activer l’option d’installation d’applications à partir de sources inconnues », sécurité a déclaré le chercheur Lukáš Štefanko.