Les chercheurs de l’éditeur Européen de solutions de sécurité ESET ont récemment analysé une nouvelle version du logiciel espion Android utilisé par «APT-C-23», un groupe de pirates actif depuis au moins 2017 qui cible principalement le Moyen-Orient.
Le nouveau logiciel espion, détecté par les produits de sécurité ESET sous le nom d’Android/SpyC23.A, s’appuie sur des versions précédemment signalées et comporte des fonctionnalités d’espionnage étendues, de nouvelles fonctions de furtivité, et un mécanisme de communications de commande et de contrôle actualisé. Il est notamment diffusé via une fausse boutique d’applications Android, en se faisant passer pour des applications de messagerie bien connues, telles que Threema et Telegram, en guise de leurre.
Après installation, le malware demande une série d’autorisations sensibles, déguisées en fonctions de sécurité et de confidentialité.
Une fois initialisé, le malware est en mesure d’effectuer ses activités d’espionnage en fonction des commandes émises par son serveur de C&C. Outre l’enregistrement audio, l’exfiltration des journaux d’appels, des SMS et des contacts, et le vol de fichiers, la nouvelle version Android/SpyC23.A est également mesure de lire les notifications des applications de messagerie, effectuer des captures d’écran, enregistrer les appels, et masquer les notifications de certaines applications de sécurité Android intégrées. La communication C&C du malware a également été mise à jour, rendant le serveur de C&C plus difficile à identifier pour les chercheurs en sécurité.
Le groupe APT-C-23 utilise à la fois des composants Windows et Android pour ses activités. Les composants Android ont été décrits pour la première fois en 2017 par Qihoo 360 Technology sous le nom de « Two-tailed Scorpion ». Depuis lors, plusieurs analyses des malwares mobiles d’APT-C-23 ont été publiées. Android/SpyC23.A, qui est la dernière version du logiciel espion du groupe, comporte plusieurs améliorations qui le rendent encore plus dangereux pour ses victimes.
« Pour se protéger des logiciels espions, nous conseillons aux utilisateurs d’Android de n’installer que des applications provenant de la boutique officielle Google Play, de vérifier les autorisations demandées, et d’utiliser une solution de sécurité mobile fiable et à jour» préconise Benoit Grunemwald, Expert en Cyber-sécurité chez ESET France et Afrique francophone.