Un nouveau malware Android est déguisé en "chat app"

Selon les chercheurs, CallerSpy peut surveiller les appels, les messages, prendre des captures d'écran et enregistrer son environnement, avertissant qu'il pourrait s'agir des premières étapes d'une campagne ciblée de cyberespionnage.

Une nouvelle forme de logiciel malveillant mobile conçue pour surveiller les appels, les textes et autres communications vise les utilisateurs d’Android en les piégeant en téléchargeant une fausse application de chat.

Le malware Trojan, baptisé CallerSpy, a été découvert et détaillé par les chercheurs en cybersécurité de Trend Micro , qui estiment que les attaques par malware font partie d’une campagne de cyberespionnage.

Les téléphones intelligents sont une cible particulièrement utile pour les attaquants dans le but de faire du cyberespionnage, car non seulement les dispositifs contiennent une grande quantité d'informations , mais ils le sont également tout au long de la vie.

Les chercheurs ont initialement découvert la menace en mai dernier, après avoir découvert une fausse adresse Web Google annonçant une application de chat appelée Chatrious. Cependant, peu de temps après sa découverte, la page hébergeant le fichier de package d'application Android (APK) malveillant a disparu.

Cependant, il est revenu en octobre, hébergeant cette fois une nouvelle application de discussion malveillante appelée Apex App. Comme Chatrious, il s’agit d’un front pour les malwares CallerSpy.

Bien qu'elles soient annoncées comme une application de discussion, les applications CallerSpy ne contiennent aucune fonctionnalité de discussion, mais constituent plutôt ce que les chercheurs décrivent comme "rempli de fonctionnalités d'espionnage".

Une fois téléchargé et lancé, il se connecte à un serveur de commande et de contrôle dont le logiciel malveillant prend les commandes à mesure qu'il surveille le périphérique.

Les fonctions malveillantes de CallerSpy incluent la collecte de tous les journaux d'appels, messages texte, listes de contacts et fichiers sur l'appareil, la possibilité d'utiliser le microphone du téléphone pour enregistrer le son de son environnement et de pouvoir effectuer des captures d'écran de l'activité de l'utilisateur. Toutes les données volées sont périodiquement téléchargées par les escrocs.

Le site Web malveillant hébergeant des téléchargements de logiciels malveillants CallerSpy est conçu pour ressembler à Google, avec les informations de copyright - bien qu'une inspection rapide de l'URL montre que l'adresse a un O de plus qu'il ne devrait en être dans Google. Mais sur certains navigateurs mobiles, ces informations ne seront pas toujours affichées ou claires. Le domaine a été enregistré en février, mais rien n’indique qui est responsable de son installation.

Les chercheurs pensent que son auteur a créé la page de distribution de CallerSpy comme phase initiale d’une campagne de cyberespionnage ciblée - bien que le mobile de l’attaquant ne soit pas connu avec précision, ni à qui il s’agit de s’attaquer, car rien n’indique qu’il en soit ainsi. infections encore découvertes dans la nature.

Si la seule preuve de la construction de CallerSpy pour Android est actuellement disponible, la section de téléchargement du site Web hébergeant l’application de discussion en ligne suggère que des versions sont également prévues pour distribuer les versions Apple et Windows, ce qui pourrait indiquer qu’une campagne beaucoup plus importante est prévue à l’avenir, l'attaquant attend le bon moment pour propager le malware.

Les chercheurs recommandent d'installer un logiciel de sécurité sur les téléphones pour se protéger contre les attaques - et les utilisateurs peuvent faire beaucoup pour rester en sécurité en faisant attention à ce qu'ils téléchargent et en veillant à ce que leur appareil soit corrigé et à jour.

Trend Micro continuera à surveiller le développement de CallerSpy mais, dans l'intervalle, les indicateurs de compromis connus actuellement disponibles sont disponibles dans leur publication analysant le programme malveillant.