Les chercheurs de Kaspersky ont mis au jour l’existence d’une campagne APT (menace persistante avancée) visant les utilisateurs d’appareils Android.
Baptisée PhantomLance, cette campagne semble être attribuable au groupe OceanLotus. Lancée depuis au moins 2015, PhantomLance est toujours active à ce jour. Elle est construite à partir de plusieurs versions d’un logiciel espion – un programme créé pour recueillir les données des victimes – et utilise des tactiques intelligentes de distribution, notamment la distribution d’applications sur Google Play.
En juillet 2019, des chercheurs en sécurité ont signalé un nouvel échantillon de logiciel espion (spyware) présent sur Google Play. Ce rapport a attiré l’attention de Kaspersky en raison des caractéristiques inattendues du logiciel – son niveau de sophistication et son comportement, très différents des chevaux de Troie que l’on peut trouver au sein des boutiques officielles d’applications. Habituellement, lorsque les créateurs de logiciels malveillants parviennent à introduire une application malveillante dans un app store, ils investissent ensuite des ressources considérables dans la promotion de l’application. Ceci, afin d’augmenter le nombre d’installations, et donc le nombre de victimes. A l’inverse, il semble que les pirates de PhantomLance ne cherchent pas la diffusion massive de leurs applications malveillantes. Un comportement qui indique, pour les chercheurs, la présence d’une activité APT.
De plus, des recherches complémentaires ont permis de découvrir plusieurs versions du logiciel espion au sein de dizaines d’échantillons, reliés par de multiples similitudes de code. L’objectif de ce logiciel espion est la collecte d’informations, et les fonctionnalités des applications infectées comprennent l’accès à la géolocalisation, au journal d’appels, aux contacts et aux SMS, ainsi qu’à la liste des applications installées, ou encore aux informations de l’appareil lui-même, comme le modèle et la version de son système d’exploitation. En outre, les cyber-attaquants peuvent télécharger et exécuter diverses charges utiles malveillantes au sein des applications installées, et adapter ces charges utiles à l’environnement spécifique du terminal. Cela permet aux pirates de ne pas surcharger l’application avec des fonctionnalités inutiles et, en même temps, de continuer de compiler les informations dont ils ont besoin.
Des recherches plus approfondies ont montré que cette campagne APT PhantomLance était principalement déployée sur des plateformes et des marketplaces, y compris Google Play et APKpure. Pour que les applications malveillantes semblent légitimes, les pirates créent dans la majorité de cas de faux profils de développeurs, avec un compte Github associé. Par ailleurs, afin de contourner les mécanismes de filtrage utilisés par les marketplaces, les attaquants n’intègrent pas de charges utiles malveillantes aux premières versions des applications qu’ils déploient. C’est seulement par la suite, via les mises à jour ultérieures, que les applications reçoivent à la fois la charge utile malveillante et le code permettant de déposer et d’exécuter cette charge utile.
Selon Kaspersky Security Network, depuis 2016, environ 300 tentatives d’infection ont été observées sur des appareils Android, dans des pays tels que l’Inde, le Vietnam, le Bangladesh et l’Indonésie. Bien que les statistiques de détection incluent les infections collatérales, le Vietnam apparaît comme l’un des premiers pays en nombre de tentatives d’attaques. Certaines applications malveillantes utilisées dans la campagne sont par ailleurs réalisées exclusivement en vietnamien.
En utilisant le moteur d’attribution des logiciels malveillants de Kaspersky – un outil interne permettant de trouver des similitudes entre différentes sections de code malveillant – les chercheurs du GReAT (Global Research and Analysis Team) de Kaspersky ont pu déterminer une similarité d’au moins 20% entre les charges utiles des applications déployées par PhantomLance et les précédentes campagnes malveillantes menées sur Android et associées aux groupement OceanLotus. En outre, plusieurs similarités de code ont été constatées avec des activités d’OceanLotus déjà signalées sur Windows et MacOS. Ainsi, les chercheurs de Kaspersky estiment possible que OceanLotus soit à l’origine de la campagne PhantomLance, sans certitude cependant. En activité depuis au moins 2013, OceanLotus cible principalement l’Asie du Sud-Est.
A noter, enfin, que Kaspersky a fait part de l’ensemble des échantillons découverts aux app stores concernés, et que Google Play a confirmé avoir retiré les applications incriminées.
“Cette campagne montre bien combien les pirates qui utilisent des menaces persistantes avancées sont toujours plus difficiles à trouver. PhantomLance existe depuis plus de cinq ans et les acteurs de la menace ont réussi à contourner les filtres des boutiques d’applications à plusieurs reprises, utilisant des techniques avancées pour atteindre leurs objectifs. Nous constatons également que l’utilisation de plateformes mobiles comme point d’infection primaire devient de plus en plus courante, avec un nombre grandissant de cyber-attaquants qui progressent dans ce domaine. Ces développements soulignent la nécessité d’une amélioration continue des services de « Threat Intelligence », permettant de suivre l’activités des pirates et d’identifier les recoupements entre leurs campagnes“, commente Ivan Kwiatkowski, chercheur en sécurité au GReAT de Kaspersky.
Le rapport complet de la campagne PhantomLance est disponible sur Securelist.
Pour éviter d’être victime d’une attaque ciblée, Kaspersky recommande les mesures suivantes:
Pour les consommateurs :
- Utilisez une solution de sécurité fiable, telle que Kaspersky Security Cloud, pour une protection complète contre un large éventail de menaces. La solution intègre Kaspersky Secure Connection, qui empêche le suivi de votre activité en ligne, cache votre adresse IP et votre emplacement, et transfère vos données via un tunnel VPN sécurisé.
Pour les entreprises :
- Assurez-vous que votre solution de sécurité endpoint est dotée d’une protection pour les appareils mobiles, comme Kaspersky Security for Mobile. Elle permet le contrôle des applications pour garantir que seules les applications légitimes sont installées sur un appareil d’entreprise, et assure une protection contre le rooting, bloquant les appareils ou supprimant les données d’entreprise qui y sont stockées.
- Donnez à votre équipe SOC (Security Operations Center) l’accès aux dernières informations de Threat Intelligence et restez informés des nouveaux outils, techniques et tactiques utilisées par les cybercriminels.
- Pour des détections au niveau du poste final, des enquêtes ou des résolutions rapides d’incidents, implémentez des solutions EDR, telles que Kaspersky Endpoint Detection and Response.
- Ajouter à votre protection du poste final une solution de sécurité de niveau entreprise qui détecte les menaces avancées au niveau du réseau, comme la plateforme Kaspersky Anti Targeted Attack.
À propos de Kaspersky
Kaspersky est une société de cybersécurité mondiale fondée en 1997. L’expertise de Kaspersky en matière de « Threat Intelligence » et sécurité informatique vient perpétuellement enrichir la création de solutions et de services de sécurité pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs à travers le monde. Le large portefeuille de solutions de sécurité de Kaspersky comprend la protection avancée et complète des terminaux et un certain nombre de solutions et de services de sécurité dédiés afin de lutter contre les menaces digitales sophistiquées et en constante évolution. Les technologies de Kaspersky aident plus de 400 millions d’utilisateurs et 250 000 entreprises à protéger ce qui compte le plus pour eux. Pour en savoir plus : www.kaspersky.com.
Communiqué