Un groupe de piratage connu sous le nom de SpaceCobra a développé une application de messagerie instantanée qui est également capable de voler de nombreuses informations sensibles sur l’appareil cible. L’acteur de la menace semble savoir exactement qui il veut cibler, car le téléchargement de l’application s’est avéré être tout un défi pour les chercheurs.
Les chercheurs en cybersécurité d’ESET ont récemment découvert que deux applications de messagerie, appelées BingeChat et Chatico, servaient en fait GravityRAT, un cheval de Troie d’accès à distance. Ce RAT était capable d’exfiltrer de nombreuses informations sensibles à partir de points de terminaison compromis, notamment les journaux d’appels, la liste de contacts, les messages SMS, l’emplacement de l’appareil, les informations de base sur l’appareil et les fichiers avec des extensions spécifiques pour les images, les photos et les documents.
Pas de présence sur l’App Store
Ce qui distingue ces deux applications des autres offrant GravityRAT, c’est qu’elles peuvent également voler des sauvegardes WhatsApp et recevoir des commandes pour supprimer des fichiers.
La façon dont le malware est distribué rend cette campagne encore plus unique. Les applications sont introuvables sur les magasins d’applications et n’ont jamais été téléchargées sur Google Play, par exemple. Au lieu de cela, ils ne peuvent être téléchargés qu’en visitant un site Web spécialement conçu et en ouvrant un compte. Cela peut ne rien sembler spécial, mais les chercheurs d’ESET n’ont pas pu ouvrir de compte car les inscriptions étaient «fermées» lors de leur visite. Cela les a incités à conclure que le groupe était très précis dans son ciblage, optant éventuellement pour un emplacement ou une adresse IP spécifique.
« Il est très probable que les opérateurs n’ouvrent l’enregistrement que lorsqu’ils s’attendent à ce qu’une victime spécifique se rende, éventuellement avec une adresse IP particulière, une géolocalisation, une URL personnalisée ou dans un délai spécifique », explique le chercheur d’ESET Lukáš Štefanko. « Bien que nous n’ayons pas pu télécharger l’application BingeChat via le site Web, nous avons pu trouver une URL de distribution sur VirusTotal », ajoute-t-il.
Cela dit, la majorité des victimes semblent résider en Inde. Les agresseurs, SpaceCobra, seraient d’origine pakistanaise. La campagne est très probablement active depuis août de l’année dernière, l’un des deux (BingeChat) étant toujours actif, ont déclaré les chercheurs. L’application malveillante, basée sur l’application open source OMEMO Instant Messenger, est disponible pour Windows, macOS et Android.