Les chercheurs de Lookout ont découvert un virus espion à l’assaut des smartphones Android. Intitulé DCHSpy, le logiciel malveillant fait partie d’une campagne d’espionnage orchestrée par MuddyWater, un gang criminel parrainé par l’État iranien. Actif depuis 2017, le gang est surrout connu pour avoir mené des attaques de phishing ciblées contre des géants de télécommunications, des agences de défense, des rois du pétrole, ou des gouvernements en provenance de la plupart des continents, y compris l’Europe.
Les experts de Lookout indiquent que « de nouvelles versions de DCHSpy » ont été déployées dans le sillage du conflit en Iran, marqué par la destruction de trois sites nucléaires iraniens par des bombardiers furtifs B‑2 envoyés par les États-Unis.
Taillées pour des opérations de surveillance, ces itérations de DCHSpy partagent la même infrastructure que SandStrike, un autre redoutable spyware. Ces nouveaux échantillons « montrent que MuddyWater continue de faire évoluer son logiciel espion, en y ajoutant de nouvelles fonctionnalités », explique Lookout.
À lire aussi : XSS, le forum russe fréquenté par 50 000 pirates, a été démantelé par la police française
De fausses apps partagées sur Telegram
Pour propager le malware DCHSpy, les pirates de MuddyWater se servent de fausses applications, imitant des VPN connus par exemple. Ces applications factices sont partagées par le biais de messages publiés sur Telegram. Ces messages redirigent l’utilisateur vers un site web malveillant, qui reprend à la lettre l’interface des plateformes officielles de VPN connus, tels que EarthVPN, ComodoVPN ou HideVPN. Les sites comportent une page permettant de télécharger des fichiers APK trafiqués. C’est une tactique éculée, mais toujours terriblement efficace.
Rassurés par l’interface, les internautes vont installer l’APK de l’application Android piégée sur leur smartphone. Une fois dans le système, le virus va scrupuleusement collecter les identifiants des comptes connectés sur l’appareil, les contacts, les messages SMS, les fichiers enregistrés, toutes les données de localisation, les historiques d’appels, des enregistrements audio, des photos prises via la caméra, et toutes les données WhatsApp. C’est une véritable montagne d’informations confidentielles et sensibles qui sont exfiltrées par DCHSpy.
Le boom des cyberattaques iraniennes
Depuis les frappes américaines contre des sites nucléaires iraniens, les cybercriminels proches de l’Iran multiplient les offensives, surtout contre les États-Unis. Comme le craignait le département de la Sécurité intérieure des États-Unis, les pirates iraniens ont bombardé des cibles américaines d’attaques DDoS. Des géants de l’aérospatial, des banques et des mastodontes de la finance ont été touchés et leurs sites ont été paralysés. Peu après, des hackers iraniens ont publié 100 Go d’e-mails appartenant à des proches de Donald Trump, piratés durant la dernière campagne électorale.
Lookout souligne suivre les activités de « 17 familles distinctes de malwares mobiles, toutes liées à au moins 10 groupes pirates iraniens actifs depuis plus de dix ans ». Ces 10 groupes criminels sont affiliés au gouvernement iranien et aux services de renseignement du pays.
Comme toujours, on vous conseille de ne pas vous fier à des applications partagées sur la toile. Avant d’installer un fichier APK, assurez-vous de bien vous trouver sur le site officiel du VPN que vous cherchez. Au lieu de passer par un lien trouvé sur Telegram, ou une autre messagerie, rendez-vous directement sur le moteur de recherche Google et recherchez le site officiel. Encore mieux, contentez-vous des applications fournies sur le Play Store.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Lookout
