{"id":479755,"date":"2022-11-24T19:49:37","date_gmt":"2022-11-24T21:49:37","guid":{"rendered":"https:\/\/teknomers.com\/fr\/bahamut-cyber-espionage-hackers-ciblant-les-utilisateurs-dandroid-avec-de-fausses-applications-vpn\/"},"modified":"2022-11-24T19:49:38","modified_gmt":"2022-11-24T21:49:38","slug":"bahamut-cyber-espionage-hackers-ciblant-les-utilisateurs-dandroid-avec-de-fausses-applications-vpn","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/bahamut-cyber-espionage-hackers-ciblant-les-utilisateurs-dandroid-avec-de-fausses-applications-vpn\/","title":{"rendered":"Bahamut Cyber \u200b\u200b\u200b\u200bEspionage Hackers ciblant les utilisateurs d&#8217;Android avec de fausses applications VPN"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Le groupe de cyberespionnage connu sous le nom de <b>Bahamut<\/b> a \u00e9t\u00e9 attribu\u00e9 \u00e0 l&#8217;origine d&#8217;une campagne tr\u00e8s cibl\u00e9e qui infecte les utilisateurs d&#8217;appareils Android avec des applications malveillantes con\u00e7ues pour extraire des informations sensibles.<\/p>\n<p>L&#8217;activit\u00e9, active depuis janvier 2022, consiste \u00e0 distribuer des applications VPN malveillantes via un faux site Web SecureVPN mis en place \u00e0 cet effet, la soci\u00e9t\u00e9 slovaque de cybers\u00e9curit\u00e9 ESET <a rel=\"nofollow noopener\" href=\"https:\/\/www.welivesecurity.com\/2022\/11\/23\/bahamut-cybermercenary-group-targets-android-users-fake-vpn-apps\/\" target=\"_blank\">a dit<\/a> dans un nouveau rapport partag\u00e9 avec The Hacker News.<\/p>\n<p>Au moins huit variantes diff\u00e9rentes des applications de logiciels espions ont \u00e9t\u00e9 d\u00e9couvertes \u00e0 ce jour, il s&#8217;agit de versions trojanis\u00e9es d&#8217;applications VPN l\u00e9gitimes telles que <a rel=\"nofollow noopener\" href=\"https:\/\/play.google.com\/store\/apps\/details?id=com.softpac.softvpn\" target=\"_blank\">SoftVPN<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/play.google.com\/store\/apps\/details?id=de.blinkt.openvpn\" target=\"_blank\">OpenVPN<\/a>.<\/p>\n<p>Les applications falsifi\u00e9es et leurs mises \u00e0 jour sont transmises aux utilisateurs via le site Web frauduleux.  On soup\u00e7onne \u00e9galement que les cibles sont soigneusement s\u00e9lectionn\u00e9es, car le lancement de l&#8217;application n\u00e9cessite que la victime entre une cl\u00e9 d&#8217;activation pour activer les fonctionnalit\u00e9s.<\/p>\n<p>Cela implique l&#8217;utilisation d&#8217;un vecteur de distribution ind\u00e9termin\u00e9, bien que les preuves pass\u00e9es montrent que cela pourrait prendre la forme d&#8217;e-mails de harponnage, de SMS ou de messages directs sur les applications de m\u00e9dias sociaux.<\/p>\n<p>Le m\u00e9canisme de cl\u00e9 d&#8217;activation est \u00e9galement con\u00e7u pour communiquer avec un serveur contr\u00f4l\u00e9 par un acteur, emp\u00eachant efficacement le malware d&#8217;\u00eatre accidentellement d\u00e9clench\u00e9 juste apr\u00e8s son lancement sur un appareil utilisateur non cibl\u00e9.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" alt=\"Fausses applications VPN\" border=\"0\" data-original-height=\"328\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/1669326577_338_Bahamut-Cyber-\u200b\u200b\u200b\u200bEspionage-Hackers-ciblant-les-utilisateurs-dAndroid-avec-de.png\" title=\"Fausses applications VPN\"\/><\/div>\n<p>Bahamut \u00e9tait <a rel=\"nofollow noopener\" href=\"https:\/\/www.bellingcat.com\/news\/mena\/2017\/06\/12\/bahamut-pursuing-cyber-espionage-actor-middle-east\/\" target=\"_blank\">d\u00e9masqu\u00e9<\/a> dans <a rel=\"nofollow noopener\" href=\"https:\/\/www.bellingcat.com\/resources\/case-studies\/2017\/10\/27\/bahamut-revisited-cyber-espionage-middle-east-south-asia\/\" target=\"_blank\">2017<\/a> par Bellingcat en tant que <a rel=\"nofollow noopener\" href=\"https:\/\/www.thebureauinvestigates.com\/stories\/2022-11-05\/inside-the-global-hack-for-hire-industry\" target=\"_blank\">op\u00e9ration de piratage pour la location<\/a> ciblant des repr\u00e9sentants du gouvernement, des groupes de d\u00e9fense des droits de l&#8217;homme et d&#8217;autres entit\u00e9s de premier plan en Asie du Sud et au Moyen-Orient avec des applications Android et iOS malveillantes pour espionner ses victimes.<\/p>\n<p>&#8220;Peut-\u00eatre que l&#8217;aspect le plus distinctif de l&#8217;artisanat de Bahamut que BlackBerry a d\u00e9couvert est l&#8217;utilisation par le groupe de sites Web, d&#8217;applications et de personnages originaux et minutieusement con\u00e7us&#8221;, a not\u00e9 BlackBerry en octobre 2020.<\/p>\n<p>Plus t\u00f4t cette ann\u00e9e, Cyble a d\u00e9taill\u00e9 deux s\u00e9ries de <a rel=\"nofollow noopener\" href=\"https:\/\/blog.cyble.com\/2022\/06\/29\/bahamut-android-malware-returns-with-new-spying-capabilities\/\" target=\"_blank\">Hame\u00e7onnage<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/blog.cyble.com\/2021\/08\/10\/bahamut-threat-group-targeting-users-through-phishing-campaign\/\" target=\"_blank\">attaques<\/a> orchestr\u00e9e par le groupe pour pousser des applications Android contrefaites se faisant passer pour des applications de chat.<\/p>\n<p>La derni\u00e8re vague suit une trajectoire similaire, incitant les utilisateurs \u00e0 installer des applications VPN apparemment inoffensives qui peuvent exfiltrer une large gamme d&#8217;informations, y compris des fichiers, des listes de contacts, des SMS, des enregistrements d&#8217;appels t\u00e9l\u00e9phoniques, des emplacements et des messages de WhatsApp, Facebook Messenger, Signal, Viber. , T\u00e9l\u00e9gramme et WeChat.<\/p>\n<p>&#8220;L&#8217;exfiltration des donn\u00e9es se fait via la fonctionnalit\u00e9 d&#8217;enregistrement de frappe du logiciel malveillant, qui utilise \u00e0 mauvais escient les services d&#8217;accessibilit\u00e9&#8221;, a d\u00e9clar\u00e9 le chercheur d&#8217;ESET, Luk\u00e1\u0161 \u0160tefanko.<\/p>\n<p>Signe que la campagne est bien entretenue, l&#8217;auteur de la menace a d&#8217;abord empaquet\u00e9 le code malveillant dans l&#8217;application SoftVPN, avant de passer \u00e0 OpenVPN, un changement expliqu\u00e9 par le fait que l&#8217;application SoftVPN actuelle a cess\u00e9 de fonctionner et qu&#8217;il n&#8217;\u00e9tait plus possible d&#8217;\u00e9tablir un Connexion VPN.<\/p>\n<p>&#8220;La campagne mobile exploit\u00e9e par le groupe Bahamut APT est toujours active\u00a0; il utilise la m\u00eame m\u00e9thode de distribution de ses applications de logiciels espions Android via des sites Web qui se font passer pour ou se font passer pour des services l\u00e9gitimes, comme cela a \u00e9t\u00e9 vu dans le pass\u00e9&#8221;, a ajout\u00e9 \u0160tefanko.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/11\/bahamut-cyber-espionage-hackers.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Le groupe de cyberespionnage connu sous le nom de Bahamut a \u00e9t\u00e9 attribu\u00e9 \u00e0 l&#8217;origine d&#8217;une campagne tr\u00e8s cibl\u00e9e qui infecte les utilisateurs d&#8217;appareils Android avec des applications malveillantes con\u00e7ues pour extraire des informations sensibles. L&#8217;activit\u00e9, active depuis janvier 2022, consiste \u00e0 distribuer des applications VPN malveillantes via un faux site Web SecureVPN mis en [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":479756,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[8361,84,127176,4175,4168,18432,4158,4165,4161,32891,127177,2650,6578,4157,4159,4171,4170,65,4167,4160,4163,4162,4172,4169,7529,4166,27977,4164],"class_list":["post-479755","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-applications","tag-avec","tag-bahamut","tag-ciblant","tag-comment-pirater","tag-cyber","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dandroid","tag-espionage","tag-fausses","tag-hackers","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite-informatique","tag-securite-internet","tag-utilisateurs","tag-violation-de-donnees","tag-vpn","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/479755","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=479755"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/479755\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/479756"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=479755"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=479755"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=479755"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}