Malgré les restrictions imposées par Google sur le Play Store pour le téléchargement des applications Android, les pirates trouvent toujours des moyens d’ajouter des applications malveillantes contenant des logiciels de surveillance et d’espionnage. Cette fois-ci, la société de cybersécurité Lookout a découvert un groupe d’applications malveillantes utilisant un nouveau logiciel espion appelé KoSpy.
Lookout a publié un rapport détaillé sur ce logiciel, ses mécanismes d’utilisation et de détection via son blog officiel. Bien que Google ait supprimé les applications dès la publication du rapport, l’une d’entre elles a été téléchargée plusieurs fois avant d’être retirée. L’entreprise a également souligné que ces applications étaient liées à un groupe de pirates informatiques étroitement associé au gouvernement nord-coréen.
Découverte des applications malveillantes Selon le rapport publié par l’entreprise, les applications se faisaient passer pour des applications de gestion du système et d’optimisation des performances. Elles se présentaient sous forme d’applications pour organiser les fichiers, mettre à jour d’autres applications, supprimer les logiciels malveillants et rendre le téléphone plus rapide et fluide.
Plus précisément, le logiciel malveillant se cachait derrière cinq types d’applications, notamment une application de gestion de téléphone, une application de gestion des fichiers, une application de gestion intelligente, une application appelée Kakao Security, et enfin, une application pour mettre à jour les systèmes téléphoniques et d’autres applications.
Dès le téléchargement de l’application, l’utilisateur se voyait demander un grand nombre de permissions suspectes, telles que l’accès et la lecture des messages texte, l’historique des appels, les fichiers stockés sur le téléphone, ainsi que l’écoute des sons ambiants, la capture d’écran, l’enregistrement constant de la localisation du téléphone et son stockage sur des serveurs contrôlés par le gouvernement nord-coréen.
L’entreprise a également noté que les applications étaient présentes dans trois magasins d’applications Android indépendants, similaires au Google Play Store, mais avec des contrôles moins stricts, ce qui en fait des cibles fréquentes pour les pirates.
Le logiciel KoSpy reposait sur une infrastructure permettant le contrôle à deux étapes. La première visait toujours les serveurs Firebase, un service d’hébergement d’applications proposé par Google, avant de se connecter à des serveurs externes contrôlés par le gouvernement nord-coréen.
Les applications contenant ce logiciel malveillant possédaient également une page externe de politique d’utilisation et de confidentialité, hébergée sur des serveurs associés aux cyberattaques du gouvernement nord-coréen depuis 2019. Il est important de noter que la politique de confidentialité des applications mentionnait explicitement qu’elles collectaient des données à des fins de marketing et pouvaient les partager avec tout partenaire jugé approprié, ajoutant que les méthodes de stockage et de partage des données numériques n’étaient pas toujours sécurisées et pouvaient être volées à tout moment.
Qui est derrière l’attaque ? Lookout a lié l’attaque à deux groupes de pirates, APT37, connu sous le nom de ScarCruft, et APT43, connu sous le nom de Kimsuki. Ces deux groupes sont liés à des cyberattaques passées et ont des liens évidents avec le gouvernement nord-coréen, collaborant avec lui dans de nombreux événements précédents. Bien que cette attaque ciblait les téléphones Android, ScarCruft avait précédemment mené une attaque en 2019 contre des ordinateurs Windows visant à collecter des données des appareils connectés, tandis que Kimsuki avait été lié à une attaque antérieure où une extension Chrome avait été utilisée pour collecter des mots de passe et des informations sur les comptes des utilisateurs.
L’entreprise a pu établir ce lien en examinant les serveurs présents dans l’application et en suivant leur trace jusqu’à leurs adresses numériques. En comparant ces adresses avec sa propre base de données liée aux cyberattaques, elle a confirmé les groupes responsables du logiciel malveillant et leurs liens.
Les cyberattaques, l’arme la plus redoutable de la Corée du Nord Ces dernières années, les cyberattaques soutenues par le gouvernement nord-coréen se sont multipliées, ciblant de nombreux secteurs et individus. Alors que le logiciel malveillant KoSpy visait les locuteurs anglais et coréens, le gouvernement a utilisé des groupes de pirates pour mener diverses attaques.
Récemment, le groupe Lazarus a participé à une cyberattaque contre la plateforme ByBit dans le secteur des crypto-monnaies, réussissant à voler près de 1,5 milliard de dollars d’actifs numériques de la plateforme. Le nom des pirates nord-coréens a également été lié à des cyberattaques contre des hôpitaux, des bases militaires américaines et la NASA. L’année dernière, le FBI a émis un mandat d’arrêt contre la personne responsable de ces attaques.
Comment se protéger des applications malveillantes Android ? Actuellement, ces applications sont omniprésentes dans divers magasins d’applications, y compris le Google Play Store et parfois l’App Store d’Apple, ce qui rend difficile de compter uniquement sur les mécanismes de ces magasins pour supprimer les applications malveillantes.
Cependant, les utilisateurs peuvent se protéger en suivant certaines recommandations. Il est essentiel de ne pas installer d’applications provenant de sources inconnues ou non vérifiées et de privilégier toujours les applications populaires ayant des millions de téléchargements, bien que cela ne garantisse pas la sécurité des applications dans de nombreux cas. Il est également important de vérifier les permissions de toutes les applications et de s’assurer qu’elles n’accèdent pas à des données inutiles ou sensibles. Toute application suspecte, notamment celles demandant des permissions excessives, doit être supprimée.
