in

Hong Kong ciblé dans une nouvelle campagne de malware mobile

Une nouvelle vague d’attaques de logiciels malveillants mobiles iOS et Android capables de prendre le contrôle des appareils et de suivre la localisation GPS, l’historique des appels téléphoniques, les contacts et les messages texte a été lancée sur des cibles à Hong Kong au cours des derniers mois, selon plusieurs sociétés de cybersécurité .

Les assaillants, que Kaspersky soupçonne être de langue chinoise, attirent leurs victimes en publiant des liens vers des sites d’informations locaux dans des sections de discussion générale de forums populaires auprès des habitants de Hong Kong. Mais lorsque les victimes cliquent pour voir les nouvelles, les attaquants déploient une iFrame cachée qui exécute une variante de logiciel malveillant iOS, une porte dérobée modulaire.

Trend Micro les chercheurs ont également trouvé ce malware, le surnommant « LightSpy ». Certains des leurres incluent du contenu sur les manifestations à Hong Kong. Ils abordent également des informations sur le nouveau coronavirus et le sexe.

La partie Android de la campagne est distribuée via des publications Instagram et des chaînes Telegram, avec des leurres encourageant les victimes à télécharger une application dédiée au Hong Kong Democracy and Freedom Movement, selon Kaspersky recherche. L’exploit Android, que TrendMicro appelle «dmsSpy», retransmet des informations sensibles sur les SMS, les appels et la géolocalisation à un serveur de commande et de contrôle contrôlé par l’attaquant.

En plus de la géolocalisation, de l’historique des appels téléphoniques et de la surveillance des messages texte, LightSpy est capable d’exfiltrer les données des machines connectées au même réseau Wi-Fi. Les logiciels espions déployés contre les victimes sont également capables de voler des informations des applications de chat Telegram, WeChat et QQ.

«Dans l’ensemble, cette menace permet à l’acteur de la menace de compromettre complètement un appareil affecté et d’acquérir une grande partie de ce qu’un utilisateur considérerait comme des informations confidentielles», écrivent les chercheurs de Trend Micro. « Plusieurs applications de chat populaires sur le marché de Hong Kong ont été particulièrement ciblées ici, suggérant que ce sont les objectifs de l’acteur de la menace. »

Les attaques de logiciels malveillants mobiles surviennent après que des militants de Hong Kong ont protesté contre une loi chinoise d’extradition controversée qui s’est accompagnée de campagnes de surveillance et de désinformation.

Attaques liées à Thrip

La campagne de balayage ne semble pas viser à recueillir des informations sur des utilisateurs spécifiques, mais plutôt à surveiller une vaste base de victimes, selon les chercheurs de Trend Micro.

«La conception et la fonctionnalité de l’opération suggèrent que la campagne n’est pas destinée à cibler les victimes, mais vise à compromettre autant d’appareils mobiles que possible pour la porte dérobée et la surveillance des appareils», expliquent les chercheurs de Trend Micro.

Mais l’exécution des attaques rapidement, ces derniers mois, semblait être une priorité pour les attaquants, selon Kaspersky.

«(W) nous pouvons évaluer que l’acteur a mis en œuvre un processus de développement assez agile, le temps semblant plus important que la furtivité ou la qualité», ont déclaré les chercheurs de Kaspersky.

Les manifestations à Hong Kong se sont récemment apaisées en raison de la pandémie de coronavirus qui a forcé les militants à l’intérieur à éviter de propager ou de contracter le virus.

Kaspersky relie cette opération, qu’elle qualifie de «TwoSail Junk», à l’activité d’un groupe APT de langue chinoise connu sous le nom de Thrip, bien que la société affirme que l’attribution se fait avec «au moins une faible confiance».

Thrip mène des cyber-opérations contre des cibles en Asie du Sud depuis au moins une décennie, y compris des cibles à Hong Kong, selon des recherches antérieures de Symantec.

 

Comments

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Loading…

0

Cette équipe veut enseigner la cybersécurité à vos enfants pendant leur retour de l’école

Apple lance une application et un site Web de dépistage des coronavirus: comment les utiliser