Les chercheurs d’ESET, une société de logiciels de sécurité, ont identifié plusieurs campagnes d’espionnage ciblant les utilisateurs d’appareils Android, attribuées au groupe de cybermenaces connu sous le nom d’Arid Viper.
Ces tactiques, actives depuis 2022, impliquent la distribution de logiciels espions via des applications modifiées. Ce logiciel malveillant collecte des informations sur l’appareil sans le consentement de l’utilisateur.
Le danger de cette modalité réside dans l’imitation d’applications qui semblent légitimes, mais qui servent en réalité de porte d’entrée aux cyberattaques et au vol d’informations.
Depuis l’année dernière, il y a eu une augmentation de l’activité de ces campagnes, les cybercriminels utilisant des sites Web qui proposent des applications Android trojanisées comme principal moyen de distribution du logiciel malveillant.
Parmi les fausses applications détectées figurent des versions de messagerie, une application d’offres d’emploi et une application d’état civil palestinien.
Loin d’être inoffensives, ces applications sont spécialement conçues pour espionner les utilisateurs. Les chercheurs d’ESET ont identifié cinq campagnes, dont seulement trois sont encore actives. Les applications sont : NortirChat, LapizaChat et ReblyChat.
Bien qu’elles semblent légitimes, ces applications contiennent un code malveillant destiné à collecter les informations privées des utilisateurs. AridSpy, l’outil d’espionnage utilisé dans ces campagnes, est extrêmement sophistiqué et a évolué en plusieurs phases pour éviter d’être détecté.
Initialement, AridSpy consistait en une seule étape d’infection, mais maintenant il comprend une deuxième étape de charge utile qui est téléchargée dynamiquement. Par exemple, pendant la Coupe du monde de la FIFA au Qatar, l’une des campagnes les plus notoires a utilisé une application appelée Kora442.
L’analyse d’ESET révèle que ces applications n’ont jamais été distribuées via Google Play, le marché officiel des applications Android. Au lieu de cela, ils sont téléchargés à partir de sites Web tiers, obligeant les victimes à activer l’option d’installer des applications de sources inconnues sur leurs appareils. Cette configuration, tout en permettant l’installation de logiciels en dehors de la boutique officielle, ouvre également la porte à des menaces potentielles.
La télémétrie ESET a enregistré des cas d’infection, soulignant la sophistication d’AridSpy. Ce logiciel espion est capable de prendre des photos, d’enregistrer de l’audio et d’enregistrer du texte visible dans des applications de messagerie instantanée telles que Facebook Messenger et WhatsApp.
Ces capacités sont obtenues grâce à l’utilisation malveillante des services d’accessibilité dans Android, une technique qui permet aux logiciels malveillants d’obtenir des autorisations approfondies sur l’appareil, à l’insu de l’utilisateur.
Pour éviter la détection, AridSpy intègre des mécanismes d’évasion, notamment la vérification de la présence de logiciels de sécurité sur l’appareil avant de procéder à des téléchargements malveillants.
De plus, le malware entretient des contacts réguliers avec les serveurs de commande et de contrôle, en utilisant une infrastructure spécifique qui varie en fonction de chaque campagne.
Cette communication constante permet aux attaquants de mettre à jour les logiciels espions et de surveiller les victimes en temps réel.