Faux VPN : attention aux applis vérolées qui volent les données
De faux VPN sévissent sur actuellement sur Android ! Ces applications malveillantes contiennent un spyware chargé de dérober un grand nombre de données personnelles, y compris dans les SMS et les messageries instantanées.
On ne le répète que trop souvent, mais Internet est plein de dangers ! Chaque semaine, de nouvelles menaces apparaissent, que ce soit pour les ordinateurs ou les mobiles. Les pirates redoublent d'ingéniosité et n'ont aucun scrupule à s'emparer de précieuses données personnelles, qui se monnayent cher sur le marché noir du Net. Des chercheurs en cybersécurité d'ESET viennent ainsi de découvrir une nouvelle campagne actuellement active qui cible les utilisateurs Android afin de leur dérober des informations sensibles toit en espionnant leurs moindres faits et gestes. Lancée en janvier dernier par le groupe de pirates Bahamut APT, elle consiste à infecter les mobiles à l'aide de fausses applications se faisant passer pour des VPN légitimes. En vérité, elles contiennent un spyware qui vole de nombreuses données personnelles… y compris dans les SMS et les applications de messageries instantanées !
Faux VPN : des applications Android infectées par un spyware
Bahamut APT est un groupe de hackers mercenaires bien connu des services de cybersécurité, qui lance généralement des attaques par le biais de messages de phishing et de fausses applications. Généralement, ils ciblent à la fois des organisations et des particuliers, surtout en Moyen-Orient et en Asie du Sud – mais c'est cette fois-ci l'Europe qui est dans leur ligne de mire. Ils ne semblent être mus par aucun intérêt politique en particulier, seulement par l'argent que leur reversent leurs clients.
Les chercheurs d'ESET ont découvert un faux site Web appelé TheSecureVPN[.]com – qui n'a bien évidemment rien à voir avec le vrai SecureVPN – fournissant de nombreuses applications Android à télécharger. À chaque fois, les faux VPN – huit versions ont été découvertes à ce jour – sont basés sur SoftVPN ou OpenVPN, des applications légitimes auxquelles les hackers ont rajouté un code malveillant qui sert à activer un malware – une technique déjà utilisée par Bahamut par le passé. La technique est très intelligente car, à l'installation, le malware est inactif, ce qui fait que l'appli passe sans problème les défenses de sécurité. La victime doit entrer une clé d'activation pour pouvoir utiliser les fonctions du VPN, ce qui active donc en même temps le spyware.
Malwares Bahamut : les voleurs de données
En parlant de technique, c'est elle qui fait croire à ESET que la campagne ne cible pas des victimes au hasard, mais des personnes en particulier. "La campagne semble être très ciblée, car nous ne voyons aucune instance dans nos données de télémétrie", explique Lukáš Štefanko, un des deux chercheurs. "De plus, l'application demande une clé d'activation avant de pouvoir utiliser les fonctionnalités VPN et spyware. La clé d'activation et le lien du site Web sont probablement envoyés aux utilisateurs ciblés." Les applications ne sont donc pas disponibles sur le Play Store – c'est bien la première fois –, les victimes se rendent sur le faux site à partir de courriers électroniques, de SMS, de messageries instantanées ou via les réseaux sociaux.
Une fois que l'application est activée, les pirates peuvent contrôler à distance le virus. Ils n'ont alors plus qu'à s'infiltrer et à se servir. Leur objectif principal est de voler toutes les données sensibles possibles, comme les contacts, les messages SMS, les journaux d'appels, l'emplacement de l'appareil, ses informations (type de connexion Internet, IMEI, IP, numéro de série SIM), les appels téléphoniques enregistrés, la liste des applications installées, les comptes enregistrés et une liste des fichiers sur un stockage externe. En profitant des autorisations d'accessibilité, ils peuvent aussi dérober ce qui est écrit dans l'application SafeNots et les messages échangés dans les applications de messagerie très populaires, à savoir Signal, Viber, WhatsApp, Telegram, Facebook Messenger, WeChat, Calls & Chat et Conion. Toutes les données sont envoyées dans une base de données locale, puis sur le serveur de commande et de contrôle. C'est pourquoi il est primordial de ne pas télécharger des applications qui ne sont pas dans la boutique officielle du mobile – déjà que ça ne suffit pas à éviter les virus et piratage –, encore plus lorsque l'appareil émet un avertissement à l'installation.