Kaspersky rapporte plus de 340 000 attaques via un nouveau mod WhatsApp malveillant

0
233
Exemples de canaux Telegram distribuant des mods malveillants

Les chercheurs de Kaspersky ont récemment découvert un nouveau mod espion malveillant de WhatsApp, qui prolifère dorénavant au sein d’une autre messagerie populaire, Telegram. Bien que la modification serve son objectif en améliorant l’expérience de l’utilisateur, elle récolte par la même occasion clandestinement les informations personnelles de ses victimes. Avec une portée dépassant les 340 000 victimes en seulement un mois, ce logiciel malveillant cible principalement les utilisateurs qui communiquent en arabe et en azéri, bien que des victimes aient été identifiées dans le monde entier.

Tribune – Les utilisateurs se tournent souvent vers des mods tiers pour les applications de messagerie populaires afin d’y ajouter des fonctionnalités supplémentaires. Cependant, certains de ces mods peuvent également contenir des logiciels malveillants cachés. Kaspersky a identifié un nouveau mod WhatsApp qui ne comporte pas seulement de nouvelles fonctionnalités telles que des messages programmés et des options personnalisables, mais qui contient aussi un module malveillant de logiciel espion.

Le fichier manifeste du client WhatsApp modifié comprend des composants suspects (un service et un récepteur de diffusion) qui ne sont pas présents dans la version originale. Le récepteur déclenche un service qui lance le module d’espionnage lorsque le téléphone est allumé ou en cours de chargement. Une fois activé, l’implant malveillant envoie une requête contenant des informations sur l’appareil au serveur de l’attaquant. Ces données incluent l’IMEI, le numéro de téléphone, les codes de pays et de réseau, etc. Il transmet en outre à l’attaquant les contacts de la victime et les détails de son compte toutes les cinq minutes. Il est par ailleurs capable d’activer le microphone et d’exfiltrer des fichiers du stockage externe.

Le module malveillant s’est frayé un chemin à travers des canaux Telegram populaires, ciblant principalement les arabophones et les azéris, certains de ces groupes comptant près de deux millions d’abonnés. Les chercheurs de Kaspersky ont alerté Telegram à ce sujet. La télémétrie de Kaspersky a identifié plus de 340 000 attaques impliquant ce mod au cours du seul mois d’octobre. Cette menace est apparue relativement récemment, active depuis la mi-août 2023.

Exemples de canaux Telegram distribuant des mods malveillants

L’Azerbaïdjan, l’Arabie saoudite, le Yémen, la Turquie et l’Égypte ont enregistré les taux d’attaque les plus élevés. Si les utilisateurs arabophones et azerbaïdjanais semblent être les cibles privilégiées, le phénomène touche aussi des personnes originaires des États-Unis, de Russie, du Royaume-Uni, d’Allemagne et d’ailleurs. 

Les produits Kaspersky détectent le cheval de Troie avec le verdict suivant : Trojan-Spy.AndroidOS.CanesSpy.

« Les gens font naturellement confiance aux applications provenant de sources très suivies, mais les agents malveillants savent exploiter cette confiance. La propagation de mods malveillants par le biais de plateformes tierces populaires souligne l’importance d’utiliser des logiciels de messagerie instantanée officiels. Toutefois, si vous avez besoin de fonctionnalités supplémentaires qui ne figurent pas dans le client d’origine, vous devriez envisager d’utiliser une solution de sécurité réputée avant d’installer un module tiers, car cela protégera vos données contre toute compromission. Pour une protection efficace de vos données personnelles, téléchargez toujours les applications à partir des magasins d’applications officiels ou des sites web officiels », commente Dmitry Kalinin, expert en sécurité chez Kaspersky.

Pour en savoir plus sur cette campagne, rendez-vous sur SecureList.