Des sites de phishing distribuent de nouveaux malwares de surveillance sur iOS et Android
Crédit Photo : ThaitechL'année dernière, la société de cybersécurité spécialisée Lookout a fait la découverte d'un agent sophistiqué de surveillance sous Android opérationnel depuis au moins cinq ans avec un mode de diffusion en plusieurs étapes.
Le logiciel provenait d'un programme de développement financé et destiné au marché de services secrets étatique. Ces détails comprenaient l'utilisation de 'certificate pinning' et de cryptage de clés publiques pour les communications C2, les restrictions géographiques imposées par le C2 lors de la diffusion de la seconde étape, et les fonctions complètes de mise en œuvre parfaitement mises en oeuvre.
Les premières versions de l'application Android utilisaient une infrastructure appartenant à une entreprise appelée Connexxa S.R.L et étaient signées par un ingénieur qui détenait semble-t-il des parts dans Connexxa.
Lookout a signalé à Google cette menace potentielle peu de temps après sa découverte. Ensemble, au cours du second semestre 2018, ils ont retiré les applications du Play Store.
Ensuite, l'analyse de ces échantillons pour Android a permis de découvrir une infrastructure contenant plusieurs échantillons d'un port iOS. Jusqu'à présent, ce logiciel sur iOs et Android n'a été diffusé que via des sites de phishing imitant des opérateurs mobiles en Italie et au Turkménistan.
Le déploiement pour les utilisateurs en dehors de l'App Store d'Apple a été rendu possible en trompant le système de distribution d'Apple conçu pour les entreprises. Le programme Apple Developer Enterprise a pour but de permettre aux organisations de distribuer des applications propriétaires et développées en interne à leurs employés sans passer par l'iOS App Store. Pour avoir accès à ce programme, il suffit pour une entreprise de satisfaire à des exigences fixées par Apple.
Lookout a informé Apple sur cette famille de malwares, et les certificats concernés ont été révoqués. Désormais, aucune nouvelle version de cette application ne peut être installée sur des appareils iOS et les installations existantes ne peuvent plus être lancées.