{"id":552015,"date":"2023-01-10T16:47:25","date_gmt":"2023-01-10T18:47:25","guid":{"rendered":"https:\/\/teknomers.com\/fr\/strongpity-hackers-distribue-une-application-de-telegramme-infectee-par-un-cheval-de-troie-pour-cibler-les-utilisateurs-dandroid\/"},"modified":"2023-01-10T16:47:27","modified_gmt":"2023-01-10T18:47:27","slug":"strongpity-hackers-distribue-une-application-de-telegramme-infectee-par-un-cheval-de-troie-pour-cibler-les-utilisateurs-dandroid","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/strongpity-hackers-distribue-une-application-de-telegramme-infectee-par-un-cheval-de-troie-pour-cibler-les-utilisateurs-dandroid\/","title":{"rendered":"StrongPity Hackers distribue une application de t\u00e9l\u00e9gramme infect\u00e9e par un cheval de Troie pour cibler les utilisateurs d&#8217;Android"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">10 janvier 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Menace persistante avanc\u00e9e<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Le groupe APT (Advanced Persistent Threat) connu sous le nom de <strong>Dommage fort<\/strong> a cibl\u00e9 les utilisateurs d&#8217;Android avec une version cheval de Troie de l&#8217;application Telegram via un faux site Web qui se fait passer pour un service de chat vid\u00e9o appel\u00e9 <b>Shagle<\/b>.<\/p>\n<p>&#8220;Un site Web copieur, imitant le service Shagle, est utilis\u00e9 pour distribuer l&#8217;application de porte d\u00e9rob\u00e9e mobile de StrongPity&#8221;, a d\u00e9clar\u00e9 Luk\u00e1\u0161 \u0160tefanko, chercheur sur les logiciels malveillants chez ESET. <a rel=\"nofollow noopener\" href=\"https:\/\/www.welivesecurity.com\/2023\/01\/10\/strongpity-espionage-campaign-targeting-android-users\/\" target=\"_blank\">m&#8217;a dit<\/a> dans un rapport technique.  &#8220;L&#8217;application est une version modifi\u00e9e de l&#8217;application open source Telegram, reconditionn\u00e9e avec le code de porte d\u00e9rob\u00e9e StrongPity.&#8221;<\/p>\n<p>StrongPity, \u00e9galement connu sous les noms APT-C-41 et Promethium, est un groupe de cyberespionnage actif depuis au moins 2012, avec une majorit\u00e9 de ses op\u00e9rations concentr\u00e9es sur la Syrie et la Turquie.  L&#8217;existence du groupe a \u00e9t\u00e9 annonc\u00e9e publiquement pour la premi\u00e8re fois par Kaspersky en octobre 2016.<\/p>\n<p>L&#8217;acteur de la menace <a rel=\"nofollow noopener\" href=\"https:\/\/blog.cyble.com\/2020\/12\/31\/strongpity-apt-extends-global-reach-with-new-infrastructure\/\" target=\"_blank\">campagnes<\/a> se sont depuis \u00e9tendus pour englober davantage de cibles en Afrique, en Asie, en Europe et en Am\u00e9rique du Nord, les intrusions tirant parti des attaques de point d&#8217;eau et des messages de phishing pour activer la killchain.<\/p>\n<p>L&#8217;une des principales caract\u00e9ristiques de StrongPity est son utilisation de sites Web contrefaits qui pr\u00e9tendent offrir une grande vari\u00e9t\u00e9 d&#8217;outils logiciels, uniquement pour inciter les victimes \u00e0 t\u00e9l\u00e9charger des versions contamin\u00e9es d&#8217;applications l\u00e9gitimes.<\/p>\n<p>En d\u00e9cembre 2021, Minerva Labs <a rel=\"nofollow noopener\" href=\"https:\/\/minerva-labs.com\/blog\/a-new-strongpity-variant-hides-behind-notepad-installation\/\" target=\"_blank\">divulgu\u00e9<\/a> une s\u00e9quence d&#8217;attaque en trois \u00e9tapes r\u00e9sultant de l&#8217;ex\u00e9cution d&#8217;un fichier de configuration Notepad ++ apparemment b\u00e9nin pour finalement fournir une porte d\u00e9rob\u00e9e aux h\u00f4tes infect\u00e9s.<\/p>\n<p>Cette m\u00eame ann\u00e9e, StrongPity \u00e9tait <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/ru_ru\/research\/21\/g\/strongpity-apt-group-deploys-android-malware-for-the-first-time.html\" target=\"_blank\">observ\u00e9<\/a> d\u00e9ployer un logiciel malveillant Android pour la premi\u00e8re fois en s&#8217;introduisant \u00e9ventuellement dans le portail e-gouvernement syrien et en rempla\u00e7ant le fichier APK officiel d&#8217;Android par un homologue escroc.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/01\/1673376445_965_StrongPity-Hackers-distribue-une-application-de-telegramme-infectee-par-un.png\" alt=\"\" border=\"0\" data-original-height=\"576\" data-original-width=\"728\"\/><\/div>\n<p>Les derni\u00e8res d\u00e9couvertes d&#8217;ESET mettent en \u00e9vidence un mode op\u00e9ratoire similaire con\u00e7u pour distribuer une version mise \u00e0 jour de la charge utile de la porte d\u00e9rob\u00e9e Android, qui est \u00e9quip\u00e9e pour enregistrer les appels t\u00e9l\u00e9phoniques, suivre l&#8217;emplacement des appareils et collecter les messages SMS, les journaux d&#8217;appels, les listes de contacts et les fichiers.<\/p>\n<p>De plus, l&#8217;octroi d&#8217;autorisations aux services d&#8217;accessibilit\u00e9 des logiciels malveillants lui permet de siphonner les notifications et les messages entrants de diverses applications telles que Gmail, Instagram, Kik, LINE, Messenger, Skype, Snapchat, Telegram, Tinder, Twitter, Viber et WeChat.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/01\/1673376445_370_StrongPity-Hackers-distribue-une-application-de-telegramme-infectee-par-un.png\" alt=\"\" border=\"0\" data-original-height=\"455\" data-original-width=\"728\"\/><\/div>\n<p>La soci\u00e9t\u00e9 slovaque de cybers\u00e9curit\u00e9 a d\u00e9crit l&#8217;implant comme modulaire et capable de t\u00e9l\u00e9charger des composants suppl\u00e9mentaires \u00e0 partir d&#8217;un serveur de commande et de contr\u00f4le (C2) \u00e0 distance afin de r\u00e9pondre aux objectifs \u00e9volutifs des campagnes de StrongPity.<\/p>\n<p>La fonctionnalit\u00e9 de porte d\u00e9rob\u00e9e est dissimul\u00e9e dans une version l\u00e9gitime de l&#8217;application Android de Telegram qui \u00e9tait disponible en t\u00e9l\u00e9chargement vers le 25 f\u00e9vrier 2022. Cela dit, le faux site Web Shagle n&#8217;est plus actif, bien qu&#8217;il semble que l&#8217;activit\u00e9 soit &#8220;tr\u00e8s \u00e9troitement cibl\u00e9e&#8221; en raison de le manque de donn\u00e9es t\u00e9l\u00e9m\u00e9triques.<\/p>\n<p>Il n&#8217;y a \u00e9galement aucune preuve que l&#8217;application a \u00e9t\u00e9 publi\u00e9e sur le Google Play Store officiel.  On ne sait pas actuellement comment les victimes potentielles sont attir\u00e9es vers le faux site Web et si cela implique des techniques telles que l&#8217;ing\u00e9nierie sociale, l&#8217;empoisonnement des moteurs de recherche ou les publicit\u00e9s frauduleuses.<\/p>\n<p>Il n&#8217;y a \u00e9galement aucune preuve que l&#8217;application (&#8220;<a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/malwrhunterteam\/status\/1549125906416943108\" target=\"_blank\">vid\u00e9o.apk<\/a>&#8220;) a \u00e9t\u00e9 publi\u00e9 sur le Google Play Store officiel. On ne sait pas actuellement comment les victimes potentielles sont attir\u00e9es vers le faux site Web, et si cela implique des techniques telles que l&#8217;ing\u00e9nierie sociale, l&#8217;empoisonnement des moteurs de recherche ou les publicit\u00e9s frauduleuses.<\/p>\n<p>&#8220;Le domaine malveillant a \u00e9t\u00e9 enregistr\u00e9 le m\u00eame jour, de sorte que le site imitateur et la fausse application Shagle sont peut-\u00eatre disponibles au t\u00e9l\u00e9chargement depuis cette date&#8221;, a soulign\u00e9 \u0160tefanko.<\/p>\n<p>Un autre aspect notable de l&#8217;attaque est que la version falsifi\u00e9e de Telegram utilise le m\u00eame nom de package que l&#8217;application Telegram authentique, ce qui signifie que la variante d\u00e9rob\u00e9e ne peut pas \u00eatre install\u00e9e sur un appareil sur lequel Telegram est d\u00e9j\u00e0 install\u00e9.<\/p>\n<p>&#8220;Cela peut signifier l&#8217;une des deux choses suivantes\u00a0: soit l&#8217;acteur de la menace communique d&#8217;abord avec les victimes potentielles et les pousse \u00e0 d\u00e9sinstaller Telegram de leurs appareils s&#8217;il est install\u00e9, soit la campagne se concentre sur les pays o\u00f9 l&#8217;utilisation de Telegram est rare pour la communication&#8221;, a d\u00e9clar\u00e9 \u0160tefanko.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/01\/strongpity-hackers-distribute.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80210 janvier 2023\ue804Ravie LakshmananMenace persistante avanc\u00e9e Le groupe APT (Advanced Persistent Threat) connu sous le nom de Dommage fort a cibl\u00e9 les utilisateurs d&#8217;Android avec une version cheval de Troie de l&#8217;application Telegram via un faux site Web qui se fait passer pour un service de chat vid\u00e9o appel\u00e9 Shagle. &#8220;Un site Web copieur, imitant [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":552016,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[1832,7968,11338,4168,4158,4165,4161,32891,18690,6578,68005,4157,4159,4171,4170,65,4167,4160,4163,4162,164,185,4172,4169,138144,23,8915,196,7529,4166,4164],"class_list":["post-552015","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-application","tag-cheval","tag-cibler","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dandroid","tag-distribue","tag-hackers","tag-infectee","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-par","tag-pour","tag-securite-informatique","tag-securite-internet","tag-strongpity","tag-telegramme","tag-troie","tag-une","tag-utilisateurs","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/552015","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=552015"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/552015\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/552016"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=552015"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=552015"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=552015"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}