Meta Platforms a déclaré avoir pris une série de mesures pour réduire les activités malveillantes de huit sociétés différentes basées en Italie, en Espagne et aux Émirats arabes unis (EAU) opérant dans le secteur de la surveillance pour compte d’autrui.
Les résultats font partie de son Rapport sur les menaces contradictoires pour le quatrième trimestre 2023. Le logiciel espion ciblait les appareils iOS, Android et Windows.
“Leurs divers logiciels malveillants comprenaient des capacités permettant de collecter et d’accéder aux informations sur l’appareil, à sa localisation, à ses photos et médias, ses contacts, son calendrier, ses e-mails, ses SMS, ses réseaux sociaux et ses applications de messagerie, ainsi qu’à activer les fonctionnalités de microphone, de caméra et de capture d’écran”, a déclaré la société.
Les huit sociétés sont Cy4Gate/ELT Group, RCS Labs, IPS Intelligence, Variston IT, TrueL IT, Protect Electronic Systems, Negg Group et Mollitiam Industries.
Ces entreprises, selon Meta, se sont également livrées à des activités de scraping, d’ingénierie sociale et de phishing ciblant un large éventail de plateformes telles que Facebook, Instagram, X (anciennement Twitter), YouTube, Skype, GitHub, Reddit, Google, LinkedIn, Quora, Tumblr, VK, Flickr, TikTok, SnapChat, Gettr, Viber, Twitch et Telegram.
Plus précisément, un réseau de personnages fictifs liés à RCS Labs, propriété de Cy4Gate, aurait incité les utilisateurs à fournir leurs numéros de téléphone et adresses e-mail, en plus de cliquer sur de faux liens pour effectuer des reconnaissances.
Un autre ensemble de comptes Facebook et Instagram, désormais supprimés, associés au fournisseur espagnol de logiciels espions Variston IT, a été utilisé pour le développement et les tests d’exploits, notamment le partage de liens malveillants. La semaine dernière, des rapports émergé que l’entreprise arrête ses activités.
Meta a également déclaré avoir identifié des comptes utilisés par Negg Group pour tester la livraison de ses logiciels espions, ainsi que par Mollitiam Industries, une société espagnole qui fait la publicité d’un service de collecte de données et de logiciels espions ciblant Windows, macOS et Android, pour récupérer des informations publiques.
Ailleurs, le géant des médias sociaux a agi sur des réseaux de Chine, du Myanmar et d’Ukraine faisant preuve d’un comportement inauthentique coordonné (CIB) en supprimant plus de 2 000 comptes, pages et groupes de Facebook et Instagram.
Alors que le cluster chinois ciblait le public américain avec des contenus liés à la critique de la politique étrangère américaine à l’égard de Taiwan et d’Israël et de son soutien à l’Ukraine, le réseau originaire du Myanmar ciblait ses propres résidents avec des articles originaux faisant l’éloge de l’armée birmane et dénigrant les organisations armées ethniques et groupes minoritaires.
Le troisième groupe se distingue par son utilisation de fausses pages et groupes pour publier du contenu soutenant le politicien ukrainien Viktor Razvadovskyi, tout en partageant également « des commentaires de soutien sur le gouvernement actuel et des commentaires critiques sur l’opposition » au Kazakhstan.
Cette évolution intervient alors qu’une coalition de gouvernements et d’entreprises technologiques, dont Meta, a signé un accord visant à freiner l’utilisation abusive de logiciels espions commerciaux pour commettre des violations des droits de l’homme.
En guise de contre-mesures, la société a introduit de nouvelles fonctionnalités telles que l’activation de l’intégrité du flux de contrôle (CFI) sur Messenger pour Android et l’isolation de la mémoire VoIP pour WhatsApp dans le but de rendre l’exploitation plus difficile et de réduire la surface d’attaque globale.
Cela dit, le secteur de la surveillance continue de prospérer sous des formes multiples et inattendues. Le mois dernier, 404 Media — s’appuyant sur recherches antérieures du Conseil irlandais pour les libertés civiles (ICCL) en novembre 2023 — démasqué un outil de surveillance appelé Modèlez qui exploite les enchères en temps réel (RTB) données publicitaires collectées à partir d’applications populaires telles que 9gag, Truecaller et Kik pour suivre les appareils mobiles.
“Patternz permet aux agences de sécurité nationale d’utiliser les données générées par la publicité des utilisateurs en temps réel et historiques pour détecter, surveiller et prédire les actions des utilisateurs, les menaces de sécurité et les anomalies en fonction du comportement des utilisateurs, des modèles de localisation et des caractéristiques d’utilisation mobile, ISA, la société israélienne à l’origine du produit. revendiqué sur son site Internet.
Puis la semaine dernière, Enea a dévoilé une attaque de réseau mobile jusque-là inconnue, connue sous le nom de MMS Fingerprint, qui aurait été utilisée par le fabricant de Pegasus, NSO Group. Ces informations ont été incluses dans un contrat de 2015 entre l’entreprise et le régulateur des télécommunications du Ghana.
Bien que la méthode exacte utilisée reste un mystère, la société suédoise de sécurité des télécommunications soupçonne qu’elle implique probablement l’utilisation de MM1_notification.REQ, un type spécial de message SMS appelé SMS binaire qui informe l’appareil destinataire d’un MMS en attente de récupération. le Centre de Service de Messagerie Multimédia (MMSC).
Le MMS est ensuite récupéré au moyen de MM1_retrieve.REQ et MM1_retrieve.RES, la première étant une requête HTTP GET adressée à l’adresse URL contenue dans le message MM1_notification.REQ.
Ce qui est remarquable dans cette approche, c’est que les informations sur la machine utilisateur telles que User-Agent (différentes de la chaîne User-Agent d’un navigateur Web) et profil x-wap est intégré dans la requête GET, agissant ainsi comme une sorte d’empreinte digitale.
“Le (MMS) User-Agent est une chaîne qui identifie généralement le système d’exploitation et l’appareil”, Enea dit. “x-wap-profile pointe vers un fichier UAProf (User Agent Profile) qui décrit les capacités d’un combiné mobile.”
Un acteur malveillant cherchant à déployer un logiciel espion pourrait utiliser ces informations pour exploiter des vulnérabilités spécifiques, adapter ses charges utiles malveillantes à l’appareil cible ou même élaborer des campagnes de phishing plus efficaces. Cela dit, rien ne prouve que cette faille de sécurité ait été exploitée sauvagement ces derniers mois.



