16/12/2024

Actu CybersécuritéMobile

Android : cette application malveillante vole les conversations WhatsApp, Signal et Telegram !

L'application Android nommée Safe Chat a un objectif bien précis : infecter votre smartphone avec un logiciel espion pour voler les données de vos conservations WhatsApp, Signal et d'autres applications de chat ! Faisons le point sur cette menace.

Les chercheurs en sécurité de chez CYFIRMA ont fait la découverte de l'application Safe Chat qui pourrait être une variante de Coverlm, une application malveillante bien connue pour voler les données d'applications de communication comme Telegram, Signal, WhatsApp, Viber et Facebook Messenger.

D'après ces mêmes chercheurs, le groupe de pirates indiens Bahamut est à l'origine de cette campagne d'attaques. Les pirates utilisent la technique du spear phishing via des messages WhatsApp pour envoyer la charge malveillante directement à la victime ciblée. L'objectif étant de convaincre la victime d'installer une nouvelle application de conversations plus sécurisée, en l'occurrence ici il s'agit de Safe Chat.

Dans le cas présent, Safe Chat présente une interface qui l'a fait passer pour une véritable application de chat ! Pour que l'application semble légitime, il y a un même un processus d'inscription pour créer un compte utilisateur : tout est fait pour rassurer l'utilisateur. Le piège se referme lorsque l'utilisateur accorde des permissions à l'application, car c'est à partir de là que le logiciel espion est déployé sur l'appareil Android.

Permission de Safe Chat - Android - Aout 2023
Source : Cyfirma

Ainsi, grâce à ses permissions, le malware va pouvoir récupérer la liste des contacts, lire les SMS, lire le journal des appels, accéder au stockage, mais aussi à la position GPS de votre appareil. Les chercheurs de CYFIRMA expliquent que le logiciel espion est conçu pour interagir avec les autres applications de chat afin de récolter des données : "Un autre extrait du fichier Android Manifest montre que l'auteur de la menace a conçu l'application de manière à ce qu'elle interagisse avec d'autres applications de chat déjà installées." - Ces données sont exfiltrées vers le serveur C2 de l'attaquant, au travers d'une connexion sur le port 2053 protégée par du chiffrement et un certificat Let's Encrypt.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.