PhoneSpy Malware
Une campagne d'espionnage active ciblant les utilisateurs sud-coréens a été identifiée par des experts en sécurité. Selon leurs découvertes, les attaquants visent à compromettre les appareils Android des utilisateurs en les infectant avec la menace de malware PhoneSpy - un RAT avancé (cheval de Troie d'accès à distance) capable d'effectuer de nombreuses actions intrusives sur les appareils violés. Il semble que l'objectif principal des pirates informatiques soit de collecter des quantités massives de données personnelles ou d'entreprise sensibles de leurs victimes.
Jusqu'à présent, les experts en cybersécurité ont découvert 23 applications armées différentes porteuses de la menace. Il convient de noter qu'aucune de ces applications n'a réussi à pénétrer dans le magasin officiel de Google Play et, à ce titre, sont principalement diffusées via des plates-formes d'applications tierces. Le vecteur initial de compromission serait les liens de phishing répartis entre les utilisateurs cibles. Les applications choisies prétendent être des outils utiles offrant messagerie, gestion de photos, instructions de yoga, streaming de contenu et plus encore.
Fonctions menaçantes
PhoneSpy n'est peut-être pas l'un des RAT les plus sophistiqués, mais ses capacités ne doivent pas être sous-estimées. Une fois que les utilisateurs ont téléchargé et exécuté le fichier APK de l'une des fausses applications, cela déclenchera le déploiement de PhoneSpy sur leurs appareils. La première action entreprise par la menace est d'afficher une page de phishing conçue pour apparaître comme si elle provenait d'un service légitime, tel que l'application de messagerie Kakao Talk.lication La fausse page tentera de convaincre l'utilisateur de lui donner de nombreuses autorisations d'appareil.
PhoneSpy établira alors ses routines de surveillance et commencera à collecter des informations privées à partir de l'appareil. Le RAT peut suivre l'emplacement de l'utilisateur via le GPS de l'appareil, prendre des images, enregistrer de l'audio ou de la vidéo en détournant le microphone et la caméra de l'appareil, intercepter les messages SMS entrants, établir un renvoi d'appel, collecter les journaux d'appels et les listes de contacts, et même envoyer des messages arbitraires de l'appareil à l'aide du compte et des informations d'identification de la victime. La grande quantité de données collectées sera transmise aux serveurs Command-and-Control (C2, C&C) des attaquants.
Pour rester caché sur l'appareil, PhoneSpy utilise des techniques d'obscurcissement pour son code. Il supprimera également l'icône de la fausse applicationlication de l'écran du téléphone, une action de dissimulation commune observée dans ces menaces RAT. PhoneSpy peut même essayer de se débarrasser des solutions de sécurité mobiles présentes sur l'appareil en tentant de les désinstaller.
