Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont analysé une nouvelle version du logiciel espion Android utilisé par APT-C-23, un groupe de pirates actif depuis au moins 2017 qui cible principalement le Moyen-Orient. Le nouveau logiciel espion, détecté par les produits de sécurité ESET sous le nom d’Android/SpyC23.A, s’appuie sur des versions précédemment signalées et comporte des fonctionnalités d’espionnage étendues, de nouvelles fonctions de furtivité, et un mécanisme de communications de commande et de contrôle (C&C) actualisé. Il est notamment diffusé via une fausse boutique d’applications Android, en se faisant passer pour des applications de messagerie bien connues, telles que Threema et Telegram, en guise de leurre.
Les chercheurs d’ESET ont commencé à enquêter sur le malware lorsqu’un collègue chercheur a tweeté un échantillon de malware Android inconnu et très peu détecté en avril 2020. « Une analyse collaborative a montré que ce malware faisait partie de l’arsenal d’APT-C-23. C’est une nouvelle version améliorée de son logiciel espion mobile, » explique Lukáš Štefanko, le chercheur d’ESET qui a analysé Android/SpyC23.A.
Le logiciel espion a été découvert dans des applications apparemment légitimes dans une fausse boutique d’applications Android. « Lorsque nous l’avons analysé, la fausse boutique contenait à la fois des applications malveillantes et saines. Le malware se cachait dans des applications se faisant passer pour AndroidUpdate, Threema et Telegram. Dans certains cas, les victimes se retrouvent avec le malware et l’application usurpée installés, » ajoute M. Štefanko.
Après l’installation, le malware demande une série d’autorisations sensibles, déguisées en fonctions de sécurité et de confidentialité. « Les pirates utilisent des techniques d’ingénierie sociale pour tromper les victimes et les conduire à octroyer différents privilèges sensibles au malware. Par exemple, la permission de lire les notifications est présentée comme étant une fonction de chiffrement des messages, » précise M. Štefanko.
Une fois initialisé, le malware est en mesure d’effectuer ses activités d’espionnage en fonction des commandes émises par son serveur de C&C. Outre l’enregistrement audio, l’exfiltration des journaux d’appels, des SMS et des contacts, et le vol de fichiers, la nouvelle version Android/SpyC23.A est également mesure de lire les notifications des applications de messagerie, effectuer des captures d’écran, enregistrer les appels, et masquer les notifications de certaines applications de sécurité Android intégrées. La communication C&C du malware a également été mise à jour, rendant le serveur de C&C plus difficile à identifier pour les chercheurs en sécurité.
Le groupe APT-C-23 utilise à la fois des composants Windows et Android pour ses activités. Les composants Android ont été décrits pour la première fois en 2017 par Qihoo 360 Technology sous le nom de « Two-tailed Scorpion ». Depuis lors, plusieurs analyses des malwares mobiles d’APT-C-23 ont été publiées.
Android/SpyC23.A, qui est la dernière version du logiciel espion du groupe, comporte plusieurs améliorations qui le rendent encore plus dangereux pour ses victimes.
« Pour se protéger des logiciels espions, nous conseillons aux utilisateurs d’Android de n’installer que des applications provenant de la boutique officielle Google Play, de vérifier les autorisations demandées, et d’utiliser une solution de sécurité mobile fiable et à jour, » ajout Benoit Grunemwald, Expert en Cyber-sécurité chez ESET France et Afrique francophone.