Une campagne d’espionnage ciblant des fonctionnaires en Inde et au Pakistan

Les chercheurs d’ESET ont analysé une campagne de cyberespionnage diffusant des portes dérobées CapraRAT via des applications de messagerie Android prétendument sécurisées mais comportant un cheval de Troie, qui exfiltrent des informations sensibles. Cette campagne est toujours active et est menée par le groupe de pirates Transparent Tribe.

Les cibles sont principalement des utilisateurs indiens et pakistanais d’Android, vraisemblablement dans un but militaire ou politique. Les victimes ont probablement été ciblées à l’aide d’une escroquerie sentimentale. Elles ont tout d’abord été contactées sur une autre plateforme, puis ont été invitées à installer des applications prétendument plus sûres. Les chercheurs d’ESET ont pu géolocaliser plus de 150 victimes en Inde et au Pakistan, ainsi qu’en Russie, à Oman et en Égypte. La campagne est très probablement active depuis juillet 2022.

« Les victimes ont été encouragées à utiliser l’application MeetsApp ou MeetUp. Cette méthode fût déjà utilisée par les opérateurs de Transparent Tribe contre leurs cibles. Trouver un numéro de téléphone portable ou une adresse email, qu’ils peuvent utiliser pour établir un premier contact, n’est pas difficile, » explique Lukáš Štefanko, le chercheur d’ESET qui a découvert la campagne. « Nous avons identifié cette campagne en analysant un autre échantillon de malware posté sur Twitter ».

APT36 derrière la porte dérobée CapraRAT

En plus de la fonctionnalité de chat inhérente aux applications d’origine MeetUp et MeetsApp, les versions comportent un cheval de Troie qu’ESET a identifié comme étant celui de la porte dérobée CapraRAT. Transparent Tribe, également connu sous le nom d’APT36, est un groupe de cyberespionnage qui utilise CapraRAT. La porte dérobée peut prendre des captures d’écran et des photos, enregistrer les appels téléphoniques, effectuer des enregistrements audio à l’aide du microphone et exfiltrer toutes autres informations sensibles. Elle peut également recevoir des commandes pour télécharger des fichiers, passer des appels et envoyer des SMS. La campagne est étroitement ciblée et rien ne suggère que ces applications n’aient été publiées sur Google Play.

CapraRAT est contrôlé à distance et exécute les commandes reçues du serveur de commande et de contrôle. Les opérateurs de ces applications n’ont implémenté que peu de fonctionnalités de sécurité, ce qui a permis aux chercheurs d’ESET de localiser sur Internet les informations personnelles identifiables des victimes et d’obtenir ainsi leur géolocalisation.

Des applications décrites comme sécurisées mais qui ne le sont nullement…

Les deux applications sont diffusées par deux sites web similaires qui les décrivent comme des services de messagerie et d’appel sécurisés. En d’autres termes, ils se présentent comme les centres de diffusion officiels de ces applications. Avant d’utiliser l’application, les victimes doivent créer des comptes qui sont liés à leur numéro de téléphone et qui nécessitent une vérification par SMS. Une fois ce compte créé, l’application demande d’autres autorisations qui permettent à la porte dérobée de fonctionner pleinement, comme l’accès aux contacts, aux journaux d’appels, aux messages SMS, au stockage externe et à l’enregistrement audio.

Une arnaque à la romance de plus….?

Transparent Tribe utilise probablement une arnaque à la romance pour inciter les victimes à installer l’application et continuer de communiquer avec elles à l’aide de l’application malveillante pour les retenir sur la plateforme et accéder à leur appareil.

https://www.eset.com