Il est temps pour vous de désinstaller ces applications qui volent vos photos et vidéos sur votre appareil. Plusieurs campagnes d’espionnage visant les utilisateurs d’appareils Android ont été repérées par les chercheurs d’ESET, une entreprise spécialisée dans les logiciels de sécurité, et sont attribuées au groupe de cybermenaces appelé Arid Viper.
Depuis 2022, ces stratégies sont en place et impliquent la diffusion de logiciels espions à travers des applications modifiées. Ce programme malveillant recueillit des données sur l’appareil sans l’accord de l’utilisateur.
Le risque de cette méthode est de reproduire des applications qui semblent légitimes, mais qui sont en réalité des portes d’entrée pour les cyberattaques et le vol d’informations. L’activité de ces campagnes a augmenté depuis l’année dernière, les cybercriminels utilisant des sites Web qui offrent des applications Android trojanisées comme principale source de distribution du logiciel malveillant.
Parmi les applications frauduleuses repérées, on retrouve des versions de messagerie, une application d’emploi et une application d’état civil palestinien.
Bien que ces applications ne soient pas inoffensives, elles ont été spécialement développées pour surveiller les utilisateurs. Cinq campagnes ont été repérées par les chercheurs d’ESET, dont seulement trois sont toujours en cours. Les applications disponibles comprennent : NortirChat, LapizaChat et ReblyChat.
Malgré leur apparence légitime, ces applications renferment un code malveillant qui vise à recueillir les données personnelles des utilisateurs. L’outil d’espionnage utilisé dans ces campagnes, AridSpy, est très avancé et a été développé en plusieurs étapes afin d’éviter d’être repéré.
Au départ, AridSpy était composé d’une seule étape d’infection, mais aujourd’hui il intègre une deuxième étape de charge utile qui est téléchargée de manière dynamique. Prenons l’exemple de l’utilisation d’une application appelée Kora442 lors de la Coupe du monde de la FIFA au Qatar.
Selon l’étude d’ESET, ces applications n’ont jamais été commercialisées via Google Play, le marché public des applications Android. Ils sont plutôt téléchargés de sites Web tiers, ce qui contraint les victimes à activer l’option d’installer des applications provenant de sources inconnues sur leurs appareils. En autorisant l’installation de logiciels en dehors de la boutique officielle, cette configuration offre également la possibilité de risquer des menaces potentielles.
Des cas d’infection ont été signalés grâce à la télémétrie ESET, mettant en évidence la sophistication d’AridSpy. Il est possible de capturer des photos, d’enregistrer de l’audio et d’enregistrer du texte visible dans des applications de messagerie instantanée comme Facebook Messenger et WhatsApp grâce à ce logiciel espion.
Ces compétences sont acquises en utilisant de manière malveillante les services d’accessibilité dans Android, une méthode qui permet aux logiciels malveillants d’obtenir des autorisations approfondies sur l’appareil, sans l’autorisation de l’utilisateur.
AridSpy ajoute des mécanismes d’évasion pour éviter d’être détecté, tels que la vérification de la présence de logiciels de sécurité sur l’appareil avant de télécharger des logiciels malveillants.
De plus, le malware entretient des contacts réguliers avec les serveurs de commande et de contrôle, en utilisant une infrastructure spécifique qui varie en fonction de chaque campagne. Grâce à cette communication continue, les attaquants peuvent mettre à jour les logiciels espions et surveiller en temps réel les victimes.
Récommendés pour vous:
By
