{"id":422379,"date":"2022-10-20T11:22:30","date_gmt":"2022-10-20T13:22:30","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-utilisent-la-nouvelle-version-du-logiciel-malveillant-furball-android-pour-espionner-les-citoyens-iraniens\/"},"modified":"2022-10-20T11:22:31","modified_gmt":"2022-10-20T13:22:31","slug":"les-pirates-utilisent-la-nouvelle-version-du-logiciel-malveillant-furball-android-pour-espionner-les-citoyens-iraniens","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-utilisent-la-nouvelle-version-du-logiciel-malveillant-furball-android-pour-espionner-les-citoyens-iraniens\/","title":{"rendered":"Les pirates utilisent la nouvelle version du logiciel malveillant FurBall Android pour espionner les citoyens iraniens"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>L&#8217;acteur mena\u00e7ant iranien connu sous le nom de <b>Chaton domestique<\/b> a \u00e9t\u00e9 attribu\u00e9e \u00e0 une nouvelle campagne mobile qui se fait passer pour une application de traduction pour distribuer une variante mise \u00e0 jour d&#8217;un malware Android connu sous le nom de FurBall.<\/p>\n<p>&#8220;Depuis juin 2021, il est distribu\u00e9 en tant qu&#8217;application de traduction via une copie d&#8217;un site Web iranien qui fournit des articles, des revues et des livres traduits&#8221;, a d\u00e9clar\u00e9 Lukas Stefanko, chercheur chez ESET. <a rel=\"nofollow noopener\" href=\"https:\/\/www.welivesecurity.com\/2022\/10\/20\/domestic-kitten-campaign-spying-iranian-citizens-furball-malware\/\" target=\"_blank\">a dit<\/a> dans un rapport partag\u00e9 avec The Hacker News.<\/p>\n<p>Les mises \u00e0 jour, tout en conservant la m\u00eame fonctionnalit\u00e9 de surveillance que les versions pr\u00e9c\u00e9dentes, sont con\u00e7ues pour \u00e9chapper \u00e0 la d\u00e9tection par les solutions de s\u00e9curit\u00e9, a ajout\u00e9 la soci\u00e9t\u00e9 slovaque de cybers\u00e9curit\u00e9.<\/p>\n<p>Le chaton domestique, \u00e9galement appel\u00e9 APT-C-50, est un groupe d&#8217;activit\u00e9s de menace iranien qui a d\u00e9j\u00e0 \u00e9t\u00e9 identifi\u00e9 comme ciblant des personnes d&#8217;int\u00e9r\u00eat dans le but de r\u00e9colter des informations sensibles \u00e0 partir d&#8217;appareils mobiles compromis.  Il est connu pour \u00eatre actif depuis au moins 2016.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/10\/Les-pirates-utilisent-la-nouvelle-version-du-logiciel-malveillant-FurBall.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Une analyse tactique men\u00e9e par Trend Micro en 2019 r\u00e9v\u00e8le les liens potentiels de Domestic Kitten avec un autre groupe appel\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/19\/f\/mobile-cyberespionage-campaign-bouncing-golf-affects-middle-east.html\" target=\"_blank\">Faire rebondir le golf<\/a>une campagne de cyberespionnage ciblant les pays du Moyen-Orient.<\/p>\n<p>L&#8217;APT-C-50 a principalement cibl\u00e9 &#8220;les citoyens iraniens qui pourraient constituer une menace pour la stabilit\u00e9 du r\u00e9gime iranien, y compris les dissidents internes, les forces d&#8217;opposition, les partisans de l&#8217;Etat islamique, la minorit\u00e9 kurde en Iran, et plus encore&#8221;, selon Check Point.<\/p>\n<p>Les campagnes entreprises par le groupe se sont traditionnellement appuy\u00e9es sur l&#8217;incitation des victimes potentielles \u00e0 installer une application malveillante via diff\u00e9rents vecteurs d&#8217;attaque, notamment des sites de blogs iraniens, des cha\u00eenes Telegram et des messages SMS.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Logiciel malveillant FurBall Android\" border=\"0\" data-original-height=\"390\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/10\/1666272150_684_Les-pirates-utilisent-la-nouvelle-version-du-logiciel-malveillant-FurBall.jpg\" title=\"Logiciel malveillant FurBall Android\" \/><\/div>\n<p>Quelle que soit la m\u00e9thode employ\u00e9e, les applications agissent comme un interm\u00e9diaire pour diffuser un logiciel malveillant nomm\u00e9 par la soci\u00e9t\u00e9 isra\u00e9lienne de cybers\u00e9curit\u00e9 nomm\u00e9e Furball, une version personnalis\u00e9e de KidLogger qui permet de collecter et d&#8217;exfiltrer des donn\u00e9es personnelles des appareils.<\/p>\n<p>La derni\u00e8re it\u00e9ration de la campagne d\u00e9couverte par ESET implique que l&#8217;application fonctionne sous le couvert d&#8217;un service de traduction.  Les couvertures pr\u00e9c\u00e9dentes utilis\u00e9es pour dissimuler les comportements malveillants couvrent diff\u00e9rentes cat\u00e9gories telles que la s\u00e9curit\u00e9, les actualit\u00e9s, les jeux et les applications de fond d&#8217;\u00e9cran.<\/p>\n<p>L&#8217;application (&#8220;<a rel=\"nofollow noopener\" href=\"https:\/\/www.virustotal.com\/gui\/file\/0d09d5e46e779d796a8d295043e5bbd90ac43705fa7ff7953faa5d8370840f93\" target=\"_blank\">sarayemaghale.apk<\/a>&#8220;) est livr\u00e9 via un faux site Web imitant downloadmaghaleh[.]com, un site l\u00e9gitime qui propose des articles et des livres traduits de l&#8217;anglais vers le persan.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Ce qui est remarquable \u00e0 propos de la derni\u00e8re version, c&#8217;est que m\u00eame si les fonctions principales des logiciels espions sont conserv\u00e9es, l&#8217;artefact ne demande qu&#8217;une seule autorisation pour acc\u00e9der aux contacts, ce qui limite l&#8217;acc\u00e8s aux messages SMS, \u00e0 l&#8217;emplacement de l&#8217;appareil, aux journaux d&#8217;appels et aux donn\u00e9es du presse-papiers.<\/p>\n<p>&#8220;La raison pourrait \u00eatre son objectif de rester sous le radar ; d&#8217;un autre c\u00f4t\u00e9, nous pensons \u00e9galement qu&#8217;il pourrait signaler qu&#8217;il ne s&#8217;agit que de la phase pr\u00e9c\u00e9dente d&#8217;une attaque de harponnage men\u00e9e via des SMS&#8221;, a soulign\u00e9 Stefanko.<\/p>\n<p>Malgr\u00e9 ce handicap, le malware Furball, dans sa forme actuelle, peut r\u00e9cup\u00e9rer des commandes \u00e0 partir d&#8217;un serveur distant qui lui permet de rassembler des contacts, des fichiers \u00e0 partir d&#8217;un stockage externe, une liste des applications install\u00e9es, des m\u00e9tadonn\u00e9es syst\u00e8me de base et des comptes d&#8217;utilisateurs synchronis\u00e9s.<\/p>\n<p>Malgr\u00e9 la r\u00e9duction des fonctionnalit\u00e9s actives de l&#8217;application, l&#8217;exemple se distingue \u00e9galement par la mise en \u0153uvre d&#8217;un sch\u00e9ma d&#8217;obfuscation de code \u00e9l\u00e9mentaire qui est consid\u00e9r\u00e9 comme une tentative de franchir les barri\u00e8res de s\u00e9curit\u00e9.<\/p>\n<p>&#8220;La campagne Domestic Kitten est toujours active, utilisant des sites Web imitateurs pour cibler les citoyens iraniens&#8221;, a d\u00e9clar\u00e9 Stefanko.  &#8220;L&#8217;objectif de l&#8217;op\u00e9rateur a l\u00e9g\u00e8rement chang\u00e9, passant de la distribution de logiciels espions Android complets \u00e0 une variante plus l\u00e9g\u00e8re.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/10\/hackers-using-new-version-of-furball.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>L&#8217;acteur mena\u00e7ant iranien connu sous le nom de Chaton domestique a \u00e9t\u00e9 attribu\u00e9e \u00e0 une nouvelle campagne mobile qui se fait passer pour une application de traduction pour distribuer une variante mise \u00e0 jour d&#8217;un malware Android connu sous le nom de FurBall. &#8220;Depuis juin 2021, il est distribu\u00e9 en tant qu&#8217;application de traduction via [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":422380,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[8738,2098,4168,4158,4165,4161,36098,118083,10783,4157,4159,4171,4170,65,6816,4167,7733,4160,197,4163,4162,4394,185,4172,4169,10784,971,4166,4164],"class_list":["post-422379","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-android","tag-citoyens","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-espionner","tag-furball","tag-iraniens","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel","tag-logiciel-malveillant-de-ransomware","tag-malveillant","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelle","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pirates","tag-pour","tag-securite-informatique","tag-securite-internet","tag-utilisent","tag-version","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/422379","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=422379"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/422379\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/422380"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=422379"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=422379"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=422379"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}