mer. Fév 8th, 2023

Déguisée en application mobile pour la plateforme de chat vidéo Shagle, une application Telegram manipulée accède à des informations explosives pour StrongPity.

Un groupe de piratage appelé « Dommage fort” a diffusé une application Telegram truquée parmi les utilisateurs de la plateforme de chat vidéo Shagle. Une fois installée, l’application Android malveillante sert à ses créateurs d’outil de surveillance complet.

L’application Telegram infectée par un cheval de Troie cible les utilisateurs de Shagle

Avec WhatsApp, Telegram est devenu l’une des applications de messagerie les plus populaires ces dernières années. Cependant, cela en fait aussi de plus en plus la cible d’activités criminelles. Et le fait que le code source de l’application soit disponible gratuitement sur GitHub permet aux attaquants potentiels d’en abuser encore plus facilement.

Les chercheurs en sécurité d’ESET ont récemment découvert une application de chat Shagle créée par le groupe de hackers APT StrongPity. Il s’agit finalement d’une version cheval de Troie de Telegram pour Android.

Logo de l'application Telegram froissé
Logo de l’application Telegram froissé

Cependant, la plate-forme purement Web Shagle, où les utilisateurs se retrouvent par hasard dans un chat vidéo avec des inconnus, n’a en fait pas d’application mobile propre.

Néanmoins, les pirates incitent leurs victimes à télécharger l’application malveillante via un faux site Web depuis 2021. Parce que cela permet à ses créateurs, entre autres, de surveiller les appels téléphoniques et d’appuyer sur les SMS et les listes de contacts.

Onze modules donnent à StrongPity un accès étendu

Selon un rapport de BleepingComputer, l’application Telegram malveillante arrive sous la forme d’un fichier nommé « vidéo.apk» sur les smartphones des utilisateurs. Il est basé sur la version 7.5.0 du Messenger original – il est donc à jour en février 2022.

Voir aussi  Bergisch Gladbacher est tombé amoureux des escrocs amoureux

Une fois installée, l’application récupère un fichier crypté AES sur le serveur des attaquants, contenant un total de onze modules. Chacun d’eux fournit à StrongPity des fonctions pour lire des données de toutes sortes à partir du smartphone de la victime.

Ainsi, les pirates peuvent, par exemple, enregistrer des appels téléphoniques et lire des SMS, des listes de contacts, des listes d’applications, des comptes d’utilisateurs et des informations système. Ils ont même accès aux notifications d’applications populaires telles que Skype, Snapchat, Twitter, Gmail, Instagram, Viber, WeChat ou Tinder via les services d’accessibilité d’Android.

De plus, les attaquants peuvent utiliser l’application Telegram manipulée pour modifier les paramètres de sécurité du système, effectuer diverses opérations sur les fichiers et redémarrer le système d’exploitation sur les appareils Android rootés.

StrongPity a probablement distribué la fausse application Telegram via le phishing

Les chercheurs d’ESET n’ont pas encore été en mesure de déterminer comment les visiteurs sont arrivés sur le faux site Web avec le téléchargement du logiciel malveillant. Cependant, on peut supposer qu’une campagne de phishing fournit le trafic nécessaire. Cependant, l’application n’aurait jamais été disponible sur le Google Play Store.

Étant donné que la fausse application Telegram n’accepte actuellement pas les nouvelles inscriptions d’utilisateurs et que la porte dérobée intégrée n’est plus fonctionnelle, les chercheurs en sécurité supposent que les pirates ont déjà atteint leur objectif.

Néanmoins, il est généralement conseillé aux utilisateurs de faire preuve d’une prudence particulière, en particulier avec les applications provenant de sources inconnues. Alors qu’il existait déjà de nombreuses applications malveillantes sur le Google Play Store, les attaquants peuvent utiliser les sites Web pour diffuser leurs logiciels malveillants beaucoup plus facilement car il y a moins de barrières de sécurité sur leur chemin.

Voir aussi  PuTTY : les pirates distribuent des logiciels malveillants via un outil SSH manipulé