{"id":792168,"date":"2023-06-20T05:34:39","date_gmt":"2023-06-20T07:34:39","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-applications-android-malveillantes-ciblent-des-pakistanais-dans-le-cadre-dune-campagne-despionnage-sophistiquee\/"},"modified":"2023-06-20T05:34:43","modified_gmt":"2023-06-20T07:34:43","slug":"des-applications-android-malveillantes-ciblent-des-pakistanais-dans-le-cadre-dune-campagne-despionnage-sophistiquee","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-applications-android-malveillantes-ciblent-des-pakistanais-dans-le-cadre-dune-campagne-despionnage-sophistiquee\/","title":{"rendered":"Des applications Android malveillantes ciblent des Pakistanais dans le cadre d&#8217;une campagne d&#8217;espionnage sophistiqu\u00e9e"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">20 juin 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Cyber \u200b\u200bespionnage \/ S\u00e9curit\u00e9 mobile<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Des individus de la r\u00e9gion du Pakistan ont \u00e9t\u00e9 cibl\u00e9s \u00e0 l&#8217;aide de deux applications Android malveillantes disponibles sur le Google Play Store dans le cadre d&#8217;une nouvelle campagne cibl\u00e9e.<\/p>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Cyfirma a attribu\u00e9 la campagne avec une confiance mod\u00e9r\u00e9e \u00e0 un acteur mena\u00e7ant connu sous le nom de DoNot Team, \u00e9galement suivi sous les noms d&#8217;APT-C-35 et de Viceroy Tiger.<\/p>\n<p>L&#8217;activit\u00e9 d&#8217;espionnage consiste \u00e0 duper les propri\u00e9taires de smartphones Android en t\u00e9l\u00e9chargeant un programme utilis\u00e9 pour extraire les donn\u00e9es de contact et de localisation des victimes involontaires.<\/p>\n<p>&#8220;Le motif de l&#8217;attaque est de collecter des informations via la charge utile du stager et d&#8217;utiliser les informations recueillies pour l&#8217;attaque de deuxi\u00e8me \u00e9tape, en utilisant des logiciels malveillants avec des fonctionnalit\u00e9s plus destructrices&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/www.cyfirma.com\/outofband\/donot-apt-elevates-its-tactics-by-deploying-malicious-android-apps-on-google-play-store\/\" target=\"_blank\">a dit<\/a>.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/labs.k7computing.com\/index.php\/the-donot-apt\/\" target=\"_blank\">\u00c9quipe DoNot<\/a> est un acteur pr\u00e9sum\u00e9 de la menace li\u00e9e \u00e0 l&#8217;Inde qui a la r\u00e9putation d&#8217;avoir perp\u00e9tr\u00e9 des attaques contre divers pays d&#8217;Asie du Sud.  Il est actif depuis au moins 2016.<\/p>\n<p>Alors qu&#8217;un rapport d&#8217;octobre 2021 d&#8217;Amnesty International a li\u00e9 l&#8217;infrastructure d&#8217;attaque du groupe \u00e0 une soci\u00e9t\u00e9 indienne de cybers\u00e9curit\u00e9 appel\u00e9e Innefu Labs, Group-IB, en f\u00e9vrier 2023, a d\u00e9clar\u00e9 avoir identifi\u00e9 des chevauchements entre DoNot Team et SideWinder, une autre \u00e9quipe de piratage indienne pr\u00e9sum\u00e9e.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/netspi-in-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/06\/Les-cybercriminels-bresiliens-utilisent-les-scripts-LOLBaS-et-CMD-pour.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Les cha\u00eenes d&#8217;attaque mont\u00e9es par le groupe exploitent les e-mails de harponnage contenant des documents et des fichiers leurres comme leurres pour propager des logiciels malveillants.  En outre, l&#8217;auteur de la menace est connu pour utiliser <a rel=\"nofollow noopener\" href=\"https:\/\/blog.cyble.com\/2021\/07\/22\/donot-apt-group-delivers-a-spyware-variant-of-chat-app\/\" target=\"_blank\">applications Android malveillantes<\/a> qui se font passer pour des services publics l\u00e9gitimes dans leurs attaques cibl\u00e9es.<\/p>\n<p>Ces applications, une fois install\u00e9es, activent le comportement des chevaux de Troie en arri\u00e8re-plan et peuvent contr\u00f4ler \u00e0 distance le syst\u00e8me de la victime, en plus de voler des informations confidentielles sur les appareils infect\u00e9s.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/06\/1687246479_35_Des-applications-Android-malveillantes-ciblent-des-Pakistanais-dans-le-cadre.jpg\" alt=\"Applications Android malveillantes\" border=\"0\" data-original-height=\"452\" data-original-width=\"728\" title=\"Applications Android malveillantes\"\/><\/div>\n<p>Le dernier ensemble d&#8217;applications d\u00e9couvertes par Cyfirma provient d&#8217;un d\u00e9veloppeur nomm\u00e9 &#8220;SecurITY Industry&#8221; et se fait passer pour des VPN et des applications de chat, ce dernier <a rel=\"nofollow noopener\" href=\"https:\/\/play.google.com\/store\/apps\/details?id=com.nSureChat.application\" target=\"_blank\">toujours disponible<\/a> \u00e0 t\u00e9l\u00e9charger sur le Play Store &#8211;<\/p>\n<ul>\n<li><a rel=\"nofollow noopener\" href=\"https:\/\/www.virustotal.com\/gui\/file\/eaed560a605374fe23317c1c37bbd05383ceec09ff83975b989e4c5d612fc039\" target=\"_blank\">iKHfaaVPN<\/a> (com.securityapps.ikhfaavpn) &#8211; 10+ t\u00e9l\u00e9chargements<\/li>\n<li><a rel=\"nofollow noopener\" href=\"https:\/\/www.virustotal.com\/gui\/file\/ee9900ef830539d113a8bcc0c7b4dd981c3fd61868319c9fe9491465bcaf4661\" target=\"_blank\">nSure Chat<\/a> (com.nSureChat.application) &#8211; 100+ t\u00e9l\u00e9chargements<\/li>\n<\/ul>\n<p>L&#8217;application VPN, qui r\u00e9utilise le code source extrait du v\u00e9ritable produit Liberty VPN, n&#8217;est plus h\u00e9berg\u00e9e sur la vitrine officielle de l&#8217;application, bien que des preuves montrent qu&#8217;elle \u00e9tait <a rel=\"nofollow noopener\" href=\"https:\/\/webcache.googleusercontent.com\/search?q=cache%3Ahttps%3A%2F%2Fplay.google.com%2Fstore%2Fapps%2Fdetails%3Fid%3Dcom.securityapps.ikhfaavpn&amp;ie=UTF-8\" target=\"_blank\">disponible<\/a> aussi r\u00e9cemment que le 12 juin 2023.<\/p>\n<p>Le faible nombre de t\u00e9l\u00e9chargements indique que les applications sont utilis\u00e9es dans le cadre d&#8217;une op\u00e9ration tr\u00e8s cibl\u00e9e, caract\u00e9ristique des acteurs de l&#8217;\u00c9tat-nation.  Les deux applications sont configur\u00e9es pour inciter les victimes \u00e0 leur accorder des autorisations invasives pour acc\u00e9der \u00e0 leurs listes de contacts et \u00e0 leurs emplacements pr\u00e9cis.<\/p>\n<p>On sait peu de choses sur les victimes cibl\u00e9es \u00e0 l&#8217;aide des applications malveillantes, \u00e0 l&#8217;exception du fait qu&#8217;elles sont bas\u00e9es au Pakistan.  On pense que les utilisateurs ont peut-\u00eatre \u00e9t\u00e9 approch\u00e9s via des messages sur Telegram et WhatsApp pour les inciter \u00e0 installer les applications.<\/p>\n<p>En utilisant le Google Play Store comme vecteur de distribution de logiciels malveillants, l&#8217;approche abuse de la confiance implicite plac\u00e9e par les utilisateurs sur le march\u00e9 des applications en ligne et lui donne un air de l\u00e9gitimit\u00e9.  Il est donc essentiel que les applications soient soigneusement examin\u00e9es avant de les t\u00e9l\u00e9charger.<\/p>\n<p>&#8220;Il semble que ce malware Android ait \u00e9t\u00e9 sp\u00e9cialement con\u00e7u pour la collecte d&#8217;informations&#8221;, a d\u00e9clar\u00e9 Cyfirma.  &#8220;En acc\u00e9dant aux listes de contacts et aux emplacements des victimes, l&#8217;acteur de la menace peut \u00e9laborer des strat\u00e9gies pour de futures attaques et utiliser des logiciels malveillants Android avec des fonctionnalit\u00e9s avanc\u00e9es pour cibler et exploiter les victimes.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/06\/rogue-android-apps-target-pakistani.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80220 juin 2023\ue804Ravie LakshmananCyber \u200b\u200bespionnage \/ S\u00e9curit\u00e9 mobile Des individus de la r\u00e9gion du Pakistan ont \u00e9t\u00e9 cibl\u00e9s \u00e0 l&#8217;aide de deux applications Android malveillantes disponibles sur le Google Play Store dans le cadre d&#8217;une nouvelle campagne cibl\u00e9e. La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Cyfirma a attribu\u00e9 la campagne avec une confiance mod\u00e9r\u00e9e \u00e0 un acteur mena\u00e7ant [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":792169,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[8738,8361,4176,2930,5863,4168,4158,4165,4161,429,133,10729,1326,4157,4159,4171,4170,4167,7306,4160,4163,4162,26178,4172,4169,83809,4166,4164],"class_list":["post-792168","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-android","tag-applications","tag-cadre","tag-campagne","tag-ciblent","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-des","tag-despionnage","tag-dune","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-malveillantes","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pakistanais","tag-securite-informatique","tag-securite-internet","tag-sophistiquee","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/792168","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=792168"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/792168\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/792169"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=792168"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=792168"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=792168"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}