histats

Les pirates SideWinder utilisent de fausses applications VPN Android pour cibler les appareils pakistanais

Les pirates SideWinder utilisent de fausses applications VPN Android pour cibler les appareils pakistanais

Fausses applications VPN Android

L’acteur menaçant connu sous le nom de SideWinder a ajouté un nouvel outil personnalisé à son arsenal de logiciels malveillants utilisés dans les attaques de phishing contre des entités publiques et privées pakistanaises.

“Les liens de phishing dans les e-mails ou les publications se faisant passer pour des alertes et des services légitimes d’agences et d’organisations gouvernementales au Pakistan sont les principaux vecteurs d’attaque pour le gang”, a déclaré mercredi la société de cybersécurité Group-IB, basée à Singapour.

SideWinder, également suivi sous les noms de Hardcore Nationalist, Rattlesnake, Razor Tiger et T-APT-04, est actif depuis au moins 2012 avec un accent principal sur le Pakistan et d’autres pays d’Asie centrale tels que l’Afghanistan, le Bangladesh, le Népal, Singapour et Sri Lanka.

Cybersécurité

Le mois dernier, Kaspersky a attribué plus de 1 000 cyberattaques qui ont eu lieu au cours des deux dernières années à ce groupe, tout en dénonçant sa persistance et ses techniques d’obscurcissement sophistiquées.

Le modus operandi de l’auteur de la menace consiste à utiliser des e-mails de harponnage pour distribuer des archives ZIP malveillantes contenant des fichiers RTF ou LNK, qui téléchargent une charge utile d’application HTML (HTA) à partir d’un serveur distant.

Fausses applications VPN Android

Ceci est réalisé en intégrant de faux liens conçus pour imiter les alertes et services légitimes d’agences et d’organisations gouvernementales au Pakistan, le groupe mettant également en place des sites Web similaires se faisant passer pour des portails gouvernementaux pour collecter les informations d’identification des utilisateurs.

L’outil personnalisé identifié par Group-IB, appelé SideWinder.AntiBot.Scriptagit comme un système de routage du trafic qui redirige les utilisateurs pakistanais qui cliquent sur les liens de phishing vers des domaines escrocs.

See also  Ce que les parents doivent savoir avant de partager en ligne des photos de la rentrée - Deltaplex News

Si un utilisateur dont l’adresse IP du client est différente de celle du Pakistan clique sur le lien, le script AntiBot redirige vers un document authentique situé sur un serveur légitime, indiquant une tentative de géolocalisation de ses cibles.

Cybersécurité

“Le script vérifie l’environnement du navigateur client et, sur la base de plusieurs paramètres, décide s’il faut émettre un fichier malveillant ou rediriger vers une ressource légitime”, ont déclaré les chercheurs.

Il convient de noter en particulier un lien de phishing qui télécharge une application VPN appelée Secure VPN (“com.securedata.vpn”) depuis la boutique officielle Google Play dans le but d’imiter l’application Secure VPN légitime (“com.securevpn .securevpn”).

Fausses applications VPN Android

Bien que le but exact de la fausse application VPN reste flou, ce n’est pas la première fois que SideWinder contourne les protections du Google Play Store pour publier des applications malveillantes sous le couvert d’un logiciel utilitaire.

En janvier 2020, Trend Micro a décrit trois applications malveillantes déguisées en outils de photographie et de gestion de fichiers qui exploitaient une faille de sécurité dans Android (CVE-2019-2215) pour obtenir des privilèges root et abuser des autorisations de service d’accès pour collecter des informations sensibles.

You may also like...

Leave a Reply

Your email address will not be published.