Une paire d’applications malveillantes a récemment été découverte dans le Google Play Store par la société de cybersécurité Cyfirma. Ce dernier a déclaré que les applications étaient utilisées par des acteurs de la menace parrainés par l’État pour collecter des données de localisation et des listes de contacts à partir d’appareils ciblés. Cyfirma, avec une confiance moyenne, affirme que l’attaque provient d’un groupe de piratage en Inde appelé”DoNot”. Les attentats ont été repérés au Pakistan.
Les deux applications du Play Store sont nSure Chat et iKHfaa VPN. Ce dernier a copié le code d’une application légitime appelée Liberty VPN (réseau privé virtuel utilisé par ceux qui naviguent sur Internet pour éviter d’être suivi) et a ajouté un code supplémentaire pour accéder et collecter la liste de contacts et découvrir l’emplacement de la cible. L’application a également continué à suivre l’emplacement de la cible en temps réel.
Ceux qui installent l’application VPN iKHfaa sont invités à activer le service de localisation
Alors que la plupart des VPN ne demandent pas l’autorisation d’utiliser la localisation et les contacts, le VPN iKHfaa le fait. Cela a rendu Cyfirma suffisamment méfiante pour creuser plus profondément pour découvrir que”DoNot”était l’attaquant derrière le malware. Lors de l’installation de l’application VPN, une fenêtre contextuelle invitant les utilisateurs à”activer la localisation de l’appareil, qui utilise le service de localisation de Google. Si le GPS du téléphone de la personne ciblée est allumé et actif, l’application malveillante pourra comprendre l’emplacement actuel de la cible. Sinon, l’emplacement précédent apparaîtra.
Les deux premières applications répertoriées par le développeur dans le Play Store sont malveillantes
Les deux applications susmentionnées, et une troisième du même développeur (qui ne semble pas être malveillante), restent dans le Google Play Store. Si l’une ou l’autre est installée sur votre téléphone, peu importe où vous vivez, assurez-vous de les désinstaller dès que possible que possible. Le nom du développeur est SecurITY Industrie et le nombre de téléchargements d’applications malveillantes est faible, ce qui signifie qu’elles visent des cibles spécifiques, même si elles apparaissent dans la boutique d’applications de Google.
Si cette application est disponible sur le Google Play Store de votre région, ne l’installez pas sur votre téléphone
N’oubliez pas, l’un des meilleurs moyens de vous empêcher d’installer une application malveillante sur votre téléphone pour lire les commentaires section. Recherchez les drapeaux rouges tels que les plaintes de ceux qui ont installé l’application au sujet de leurs téléphones qui chauffent trop, fonctionnent trop lentement et souffrent d’un épuisement rapide de la batterie. Voici quelques-uns des signes qui devraient vous inciter à fuir une application au lieu de l’installer.
