Archives quotidiennes :

Cybersécurité, Espionnage Spy, Justice

Ancien pilote américain accusé d’avoir formé l’armée chinoise

Laisser un commentaire

Un ancien officier décoré de l’US Air Force est accusé aux États-Unis d’avoir préparé une formation militaire pour des pilotes chinois, avec l’appui d’un pirate informatique lié à des opérations d’espionnage industriel.

Les autorités américaines ont arrêté Gerald Eddie Brown, ancien major de l’US Air Force, soupçonné d’avoir conspiré avec un pirate informatique chinois pour former des pilotes de chasse de l’Armée populaire de libération. L’enquête révèle un projet structuré visant à transférer un savoir-faire militaire sensible vers la Chine. Le dossier implique Stephen Su Bin, déjà condamné pour avoir piraté des entreprises de défense américaines et dérobé des données classifiées sur des programmes militaires. L’affaire illustre les stratégies d’acquisition technologique de Pékin, mêlant cyberespionnage, recrutement d’experts occidentaux et exploitation d’anciens militaires disposant d’une expertise critique.

Un ancien pilote au cœur d’un projet de formation militaire

Les procureurs fédéraux américains accusent Gerald Eddie Brown, 65 ans, d’avoir participé à un projet destiné à transmettre des compétences militaires sensibles à la Chine. L’ancien officier a été arrêté jeudi à Jeffersonville, dans l’Indiana, après plusieurs années passées en Chine où il aurait fourni une formation aéronautique à des pilotes militaires.

Les documents judiciaires indiquent que Brown a servi plus de vingt ans dans l’US Air Force. Après avoir quitté l’armée en 1996 avec le grade de major, il a poursuivi sa carrière dans l’aviation civile comme pilote de fret. Il a également occupé des fonctions dans deux entreprises américaines liées au secteur de la défense.

Selon l’acte d’accusation, il aurait commencé en 2023 des discussions visant à former des pilotes de la Force aérienne de l’Armée populaire de libération, la PLAAF. Les autorités américaines estiment que cette activité relevait d’un transfert d’expertise militaire sensible vers une puissance étrangère.

Le projet prévoyait notamment la transmission de compétences liées au combat aérien et aux opérations militaires. Brown aurait exprimé clairement son intention de former des pilotes chinois à ces techniques.

En décembre 2023, il se rend en Chine. Sur place, il rencontre des responsables chinois et leur présente son parcours professionnel. Les enquêteurs affirment qu’il est resté dans le pays près de trois ans avant de revenir aux États-Unis ce mois-ci, moment choisi par les autorités pour procéder à son arrestation.

Une affaire liée à un pirate impliqué dans l’espionnage industriel

L’enquête américaine souligne un élément central du dossier. Le contrat de formation aurait été négocié avec l’aide d’un complice de Stephen Su Bin, ressortissant chinois déjà condamné pour cyberespionnage.

Su Bin dirigeait une société de technologies aéronautiques installée au Canada. Entre 2008 et 2014, il est accusé d’avoir mené des intrusions informatiques contre plusieurs entreprises de défense américaines. Les autorités américaines affirment que ces opérations visaient à récupérer des informations sensibles pour le gouvernement chinois.

En 2016, Su Bin a reconnu avoir piraté un sous-traitant militaire américain. L’enquête a établi qu’il avait dérobé des données militaires sensibles et des informations soumises aux règles américaines de contrôle des exportations.

Un épisode particulièrement documenté concerne l’avion de transport militaire C-17. Le pirate informatique avait pénétré les serveurs de Boeing pour accéder à des fichiers techniques relatifs à cet appareil. Les documents récupérés avaient ensuite été transmis par courrier électronique à des responsables chinois.

Pour ces faits, Su Bin a été condamné à quatre ans de prison et son entreprise a été sanctionnée.

Les procureurs affirment que Brown a collaboré avec ce réseau afin de finaliser l’accord de formation. Selon l’accusation, l’ancien officier n’avait pas obtenu l’autorisation obligatoire du Département d’État pour fournir une expertise militaire à une armée étrangère.

Cette obligation relève de la réglementation américaine sur le trafic international d’armes, connue sous le nom d’International Traffic in Arms Regulations, ou ITAR. Elle encadre strictement l’exportation de technologies et de connaissances militaires.

Les responsables du FBI et du ministère de la Justice présentent l’affaire comme un exemple de stratégie chinoise visant à exploiter l’expertise occidentale.

Roman Rozhavsky, directeur adjoint de la division de contre-espionnage du FBI, estime que Brown « a trahi son pays en formant des pilotes chinois à combattre ceux qu’il avait juré de protéger ».

John Eisenberg, procureur général adjoint chargé de la sécurité nationale, souligne que la formation d’une armée étrangère par un citoyen américain reste illégale sans licence officielle délivrée par le Département d’État.

L’affaire illustre la convergence entre cyberespionnage, recrutement d’experts militaires et transferts de compétences stratégiques dans la compétition technologique entre Washington et Pékin.

Dans le domaine du renseignement, ces dossiers démontrent comment la Chine combine piratage informatique et captation de savoir-faire humain pour accélérer la modernisation de ses forces armées.

Cybersécurité

Prince Group : 62 inculpations dans une vaste fraude en ligne

Laisser un commentaire

À Taïwan, la justice frappe un réseau international lié au groupe Prince. Les procureurs accusent l’organisation d’avoir orchestré une gigantesque fraude numérique et un système de blanchiment à l’échelle mondiale.

Le parquet du district de Taipei a inculpé 62 personnes et 13 entreprises pour leur rôle présumé dans les activités criminelles du groupe Prince, une organisation accusée d’avoir organisé des escroqueries en ligne massives en Asie. Les enquêteurs estiment que ce réseau, lié à des complexes installés au Cambodge, a permis de soutirer des milliards de dollars à des victimes en Occident et en Chine. Les autorités taïwanaises affirment que plus de 339 million $ (312,7 millions d’euros) ont été blanchis via Taïwan. L’affaire illustre l’industrialisation des cyberescroqueries internationales et les circuits financiers complexes utilisés pour dissimuler l’origine des fonds.

Un réseau mondial d’escroqueries et de blanchiment

Le parquet du district de Taipei a annoncé l’inculpation de 62 individus ainsi que de 13 sociétés pour leur implication présumée dans un vaste système d’escroquerie en ligne lié au groupe Prince. L’enquête, ouverte en octobre dernier, fait suite à des poursuites engagées aux États-Unis contre Chen Zhi, fondateur du groupe, pour blanchiment d’argent.

Selon les procureurs taïwanais, l’organisation aurait exploité des centaines de complexes au Cambodge. Ces installations servaient de centres d’escroquerie numérique où des travailleurs, souvent victimes de trafic d’êtres humains, étaient contraints de mener des opérations frauduleuses à grande échelle. Les escroqueries visaient principalement des victimes aux États-Unis, en Europe et en Chine.

Chen Zhi a été arrêté au Cambodge plus tôt dans l’année avant d’être extradé vers la Chine. Les autorités taïwanaises ont toutefois poursuivi leur propre enquête sur les activités financières du réseau sur leur territoire.

Les investigations indiquent que des acteurs liés au groupe Prince ont blanchi au moins 339 million $ (312,7 millions d’euros) à Taïwan. Les fonds auraient ensuite servi à acquérir des biens de grande valeur. Les procureurs évoquent l’achat de 24 propriétés, de 35 véhicules et d’autres actifs estimés à environ 1,7 million $. Au total, les autorités taïwanaises ont saisi environ 174 million $ (160,5 millions d’euros) en espèces et en biens.

Les enquêteurs décrivent une structure financière particulièrement complexe. D’après le parquet, le groupe Prince contrôlait près de 250 sociétés offshore réparties dans 18 pays. Ces entités détenaient 453 comptes financiers nationaux et internationaux. Des contrats commerciaux fictifs entre ces sociétés auraient permis de dissimuler les flux financiers et de recycler l’argent issu des escroqueries via différents circuits de change.

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes, chaque vendredi midi.

YouTube
WhatsApp
Google News
Autres

S’abonner à la NewsLetter

Cyberescroquerie industrielle et coopération internationale

L’enquête menée par les autorités taïwanaises a conduit à plusieurs arrestations et mises en détention. Neuf personnes considérées comme des figures importantes du réseau ont été placées en détention. Soixante-treize autres suspects ont été libérés sous caution après plusieurs mois d’investigation.

Parmi les personnes inculpées figurent Chen Zhi ainsi que plusieurs collaborateurs soupçonnés d’avoir enfreint la législation taïwanaise sur le crime organisé, le blanchiment d’argent et diverses infractions financières. Les suspects détenus incluent des ressortissants cambodgiens ainsi que des individus originaires de Singapour, de Chine, de Malaisie et d’autres pays.

Les autorités américaines avaient déjà accusé le groupe Prince de tirer profit d’activités criminelles variées. Selon le département du Trésor des États-Unis, l’organisation aurait bénéficié de jeux d’argent illégaux en ligne, d’extorsion sexuelle et de blanchiment d’argent. Les enquêteurs évoquent également des opérations impliquant trafic d’êtres humains, torture et exploitation de travailleurs contraints d’opérer des réseaux d’escroquerie.

Les activités liées à Taïwan remonteraient à 2016. Les procureurs affirment que Chen Zhi avait chargé deux collaborateurs, Wang Tang et Zhang Yao, de gérer depuis Taipei plusieurs opérations de jeux clandestins et de blanchiment. L’enquête a révélé un vaste réseau de sociétés écrans et de comptes bancaires dans différentes juridictions, notamment les îles Marshall, les Seychelles, l’île de Man, le Japon et la Thaïlande.

Les suspects auraient également tenté de dissimuler leurs gains illicites en investissant dans des biens de luxe, notamment des maisons haut de gamme, des voitures prestigieuses et des articles de luxe.

Dans certains cas considérés comme mineurs, 24 personnes poursuivies pour infractions liées aux jeux d’argent ont reconnu les faits. Les procureurs ont suspendu les poursuites après leurs aveux et l’expression de remords.

Au niveau international, plusieurs mesures ont déjà visé l’organisation. Les autorités américaines et britanniques ont imposé des sanctions au groupe Prince. Le département de la Justice des États-Unis affirme avoir saisi environ 15 milliard $ (13,8 milliards d’euros) en bitcoins sur des comptes associés à Chen Zhi.

Les escroqueries orchestrées par ce réseau reposaient sur différentes méthodes, notamment les arnaques sentimentales et les fraudes financières. Ces opérations auraient généré des milliards de dollars en ciblant principalement des victimes occidentales.

L’ampleur de ces activités a provoqué une forte pression internationale sur le Cambodge, accusé d’abriter de nombreux complexes de cyberescroquerie. Après l’arrestation de Chen Zhi, plusieurs installations ont été désertées dans un climat chaotique. Des victimes de trafic d’êtres humains et des travailleurs contraints ont quitté ces sites et se sont rendus dans des ambassades pour demander assistance.

Cette affaire met en lumière la dimension industrielle des escroqueries numériques transnationales et la nécessité d’une coopération renforcée entre services de renseignement financier et unités de cybercriminalité.

Cybersécurité, Justice, Securite informatique

Phobos : le développeur clé plaide coupable aux États-Unis

Laisser un commentaire

Un développeur russe lié au ransomware Phobos reconnaît sa responsabilité devant la justice américaine. L’affaire révèle l’organisation interne d’un réseau criminel actif depuis plusieurs années.

Un ressortissant russe de 43 ans a plaidé coupable aux États-Unis pour son rôle central dans le ransomware Phobos. Considéré comme l’un des principaux développeurs de cette plateforme criminelle, Evgenii Ptitsyn risque jusqu’à 20 ans de prison. Les enquêteurs estiment que Phobos et sa variante 8Base ont extorqué plus de 16 million $ (14,7 millions d’euros) depuis 2019 auprès d’organisations du monde entier. L’affaire met en lumière le modèle industriel du ransomware-as-a-service, dans lequel des développeurs fournissent l’outil à des affiliés chargés de mener les attaques contre des entreprises, des établissements de santé et des institutions publiques.

Un développeur clé du ransomware Phobos face à la justice

L’un des cerveaux techniques associés au ransomware Phobos a reconnu sa culpabilité devant la justice américaine. Evgenii Ptitsyn, citoyen russe âgé de 43 ans, a admis des faits de fraude électronique mercredi devant un tribunal fédéral. Les procureurs des États-Unis le présentent comme un acteur majeur de ce réseau de cyberextorsion.

Selon l’acte d’accusation, Ptitsyn a contribué au fonctionnement du ransomware à partir de novembre 2020. Le logiciel malveillant a ensuite été utilisé pour viser plus de 1 000 organisations à travers le monde. L’enquête judiciaire décrit un dispositif structuré, mêlant développement technique, diffusion sur des forums criminels et exploitation d’un site sur le darknet destiné à exposer ou vendre les données volées.

L’homme a été arrêté en Corée du Sud avant d’être remis aux autorités américaines en novembre 2024. Sa condamnation doit être prononcée le 15 juillet. La peine maximale encourue atteint 20 ans de prison.

Les procureurs affirment que Ptitsyn occupait une position centrale dans l’écosystème Phobos. Il développait et maintenait le ransomware, puis le distribuait à des affiliés du réseau. Ces partenaires menaient les intrusions informatiques, chiffraient les systèmes des victimes et exigeaient ensuite une rançon. Une commission revenait aux opérateurs techniques pour chaque paiement obtenu.

Les investigations ont également relié Ptitsyn à plusieurs attaques précises. Parmi elles figure une intrusion contre un système scolaire public en Californie. L’établissement a payé une rançon de 300 000 $ (276 500 euros) en 2023 pour récupérer l’accès à ses données. D’autres opérations ont visé des organisations du secteur médical ainsi que plusieurs entreprises.

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes, chaque vendredi midi.

YouTube
WhatsApp
Google News
Autres

S’abonner à la NewsLetter

Un réseau international démantelé progressivement

Les poursuites contre Ptitsyn s’inscrivent dans une série d’actions menées contre les groupes liés au ransomware Phobos et à sa variante 8Base. Les autorités américaines estiment que ces réseaux ont extorqué plus de 16 million $ (14,7 millions d’euros) depuis 2019.

Au cours des deux dernières années, plusieurs membres ou associés ont été arrêtés dans différentes juridictions. Un administrateur de Phobos a été interpellé en Corée du Sud en juin 2024 avant d’être extradé vers les États-Unis. En 2023, un autre acteur important a été arrêté en Italie sur la base d’un mandat d’arrêt français.

Plus récemment, une opération internationale coordonnée a visé le groupe 8Base, considéré comme un utilisateur majeur de l’infrastructure Phobos. Quatre individus soupçonnés de diriger cette organisation ont été arrêtés. Les enquêteurs les accusent d’avoir exploité une variante du ransomware pour extorquer des victimes en Europe et dans d’autres régions.

Cette opération a également conduit au démantèlement de 27 serveurs liés au réseau criminel. Les services de police ont pu prévenir plus de 400 entreprises d’attaques de ransomware en cours ou imminentes.

L’enquête a mobilisé les forces de l’ordre de 14 pays, avec le soutien d’Europol et d’Eurojust. Le Centre européen de lutte contre la cybercriminalité d’Europol a assuré un rôle de coordination entre les différentes investigations. Les analystes ont notamment partagé des renseignements, réalisé des analyses techniques et facilité les échanges entre les équipes nationales.

Près de 600 messages opérationnels ont été échangés via le réseau sécurisé SIENA, tandis que 37 réunions opérationnelles et sprints techniques ont été organisés pour faire progresser les investigations.

Repéré pour la première fois en décembre 2018, Phobos constitue l’un des ransomwares les plus persistants du paysage cybercriminel. Son succès repose sur un modèle de ransomware-as-a-service qui permet à de nombreux acteurs, même peu expérimentés, de lancer leurs propres campagnes d’extorsion.

Les services de renseignement spécialisés dans la cybersécurité considèrent aujourd’hui Phobos et 8Base parmi les groupes de ransomware les plus actifs en 2024.

L’affaire Ptitsyn illustre la stratégie des autorités consistant à cibler les développeurs et les infrastructures techniques afin d’affaiblir durablement les réseaux de cyberextorsion.

La traque judiciaire et technique des opérateurs de ransomware reste désormais un enjeu central pour le renseignement cyber international.

Cybersécurité, Justice, loi

Cyberfraude : Washington prépare un fonds pour les victimes

Laisser un commentaire

La Maison Blanche veut répondre à l’explosion mondiale des escroqueries numériques. Un décret présidentiel prévoit indemnisation des victimes et offensive coordonnée contre les réseaux criminels transnationaux.

La cyberfraude représente désormais une menace économique majeure pour les États-Unis. Chaque année, des escroqueries en ligne dérobent des milliards de dollars aux particuliers américains. Face à cette situation, l’administration Trump a publié un décret présidentiel ordonnant une réponse coordonnée de l’ensemble du gouvernement. Objectif affiché : démanteler les organisations criminelles transnationales à l’origine de ces arnaques et créer un mécanisme d’indemnisation pour les victimes. Le texte prévoit la mobilisation de plusieurs ministères, l’exploitation des capacités du secteur privé de cybersécurité et une pression diplomatique accrue contre les États accusés d’héberger ou de tolérer ces réseaux.

Un plan fédéral contre l’économie mondiale de la cyberfraude

Le décret présidentiel publié vendredi fixe un calendrier précis à plusieurs agences fédérales. Elles disposent de 120 jours pour produire un plan d’action détaillant les mesures destinées à prévenir, perturber, enquêter et démanteler les organisations criminelles transnationales impliquées dans la cybercriminalité.

Ce plan doit notamment viser les réseaux opérant des centres d’escroquerie, souvent situés hors du territoire américain. Ces structures sont spécialisées dans les arnaques financières numériques, allant de faux investissements à des escroqueries sentimentales. Selon le FBI, ces dispositifs criminels soutirent environ 12,5 milliards $ par an aux citoyens américains, soit environ 11,5 milliards d’euros.

Le décret prévoit également la création d’une cellule opérationnelle au sein du National Coordination Center. Cette unité doit centraliser les efforts fédéraux contre ces organisations criminelles. Elle rassemblera plusieurs administrations : Département d’État, Trésor, Défense, Sécurité intérieure et Justice.

La Maison Blanche souligne que l’objectif consiste à améliorer la circulation du renseignement, la coordination opérationnelle et la rapidité de réaction entre institutions. Le dispositif doit également rester aligné sur les cadres juridiques déjà utilisés par les autorités américaines pour lutter contre les cybermenaces provenant de juridictions étrangères.

Le secteur privé pourrait être mobilisé dans ce dispositif. Les entreprises spécialisées en cybersécurité disposent de capacités techniques et de renseignement sur les menaces qui peuvent aider à attribuer les attaques, suivre les infrastructures criminelles et perturber les opérations des acteurs malveillants.

L’administration américaine considère ces activités comme un phénomène structuré et transnational. Rançongiciels, logiciels malveillants, hameçonnage, chantage sexuel, usurpation d’identité ou fraude financière constituent les principales techniques utilisées par ces groupes.

Washington estime que certains régimes étrangers offrent un soutien implicite ou direct à ces réseaux criminels. Selon la Maison Blanche, ces activités alimentent une économie clandestine mêlant fraude numérique, coercition, travail forcé et parfois traite d’êtres humains.

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes, chaque vendredi midi.

YouTube
WhatsApp
Google News
Autres

S’abonner à la NewsLetter

Vers un mécanisme d’indemnisation des victimes

Le décret introduit également un élément inédit dans la stratégie américaine contre la cybercriminalité : un programme d’indemnisation des victimes.

Dans un délai de 90 jours, l’administration devra définir un mécanisme permettant de restituer aux victimes une partie des fonds récupérés lors des opérations judiciaires. Les montants proviendront d’actifs saisis, confisqués ou récupérés auprès des organisations criminelles responsables de ces escroqueries numériques.

Cette approche repose sur un constat simple. Les autorités américaines récupèrent régulièrement des sommes importantes lors d’enquêtes internationales, mais les modalités de redistribution restent souvent floues pour les victimes.

La semaine précédant l’annonce, les autorités ont saisi plus de 2 millions $ (1,84 million d’euros) auprès d’escrocs égyptiens. L’année précédente, le ministère de la Justice avait également annoncé la saisie d’environ 15 milliards $ en bitcoins, soit près de 13,8 milliards d’euros, sur des comptes liés selon l’accusation au dirigeant d’un conglomérat cambodgien suspecté d’avoir dirigé un vaste empire d’escroquerie.

Nicole Tisdale, ancienne responsable du Conseil de sécurité nationale à la Maison Blanche, estime que le décret marque un changement stratégique. Elle souligne que la cybercriminalité ignore les frontières juridiques alors que les réponses institutionnelles restent souvent fragmentées.

Selon elle, le texte impose explicitement une coordination de l’ensemble de l’appareil fédéral autour d’un objectif commun : protéger les victimes et renforcer la réponse opérationnelle.

Le décret prévoit également des mesures de pression diplomatique contre les pays accusés d’abriter ces réseaux criminels. Les outils envisagés incluent la réduction de l’aide étrangère, l’application de sanctions ciblées, des restrictions de visas ou encore des sanctions commerciales. Le texte mentionne aussi l’expulsion immédiate de responsables ou diplomates étrangers considérés comme complices.

Le directeur national de la cybersécurité, Sean Cairncross, a expliqué que la publication du décret coïncidait volontairement avec la nouvelle stratégie nationale de cybersécurité. L’objectif consiste à mobiliser l’ensemble des instruments de puissance américains, y compris la diplomatie.

Le Département d’État devra ainsi développer une stratégie diplomatique pour pousser les gouvernements étrangers à agir contre les centres d’escroquerie présents sur leur territoire.

Dans cette logique, le ministère de la Justice prévoit d’augmenter les arrestations et les procédures d’extradition visant les responsables de ces réseaux criminels.

L’enjeu dépasse la simple cyberdéfense. Pour Washington, il s’agit désormais de s’attaquer à une industrie criminelle mondialisée dont l’infrastructure numérique constitue l’un des piliers.

La bataille contre la cyberfraude devient ainsi un dossier mêlant renseignement, diplomatie et guerre économique numérique.

backdoor, Cybersécurité, Espionnage Spy, Securite informatique, Smartphone, Social engineering

Nouveau malware Android vole les codes SMS bancaires

Laisser un commentaire

Un nouveau cheval de Troie Android circule via messageries sous forme d’une fausse galerie photo. L’application malveillante intercepte les SMS, notamment les codes d’authentification bancaire, afin de faciliter des fraudes financières.

Un fichier APK récemment identifié par des spécialistes en cybersécurité révèle une nouvelle évolution de la famille de malwares Pulsar SMS Stealer. Diffusée sous le nom trompeur Photos_2920, cette application Android se présente comme une simple galerie d’images. En réalité, elle agit comme un outil d’espionnage capable d’intercepter les messages SMS de l’utilisateur. Les chercheurs indiquent qu’au 10 mars 2026, ce programme malveillant échappe encore aux détections antivirus connues. La diffusion repose sur l’ingénierie sociale via des messageries mobiles. L’objectif consiste à récupérer les codes OTP et 2FA utilisés pour sécuriser l’accès aux comptes bancaires et services en ligne.

Une galerie photo qui espionne les SMS

Les attaquants envoient directement le fichier APK aux victimes par messagerie. La méthode exploite un réflexe courant : ouvrir une image reçue d’un contact ou d’un interlocuteur inconnu. Une fois installé, le logiciel malveillant adopte l’apparence d’une galerie photo anodine.

En arrière-plan, l’application réclame une série d’autorisations sensibles. Ces droits lui permettent d’intercepter, lire, envoyer et supprimer des SMS. Le programme accède également à plusieurs identifiants de l’appareil, dont l’IMEI, le numéro de téléphone et les informations de l’opérateur mobile.

Les analyses montrent aussi que le malware récupère les numéros associés aux deux cartes SIM lorsque l’appareil en possède deux. Il peut démarrer automatiquement après redémarrage du téléphone et rester actif en continu. L’ensemble des messages SMS stockés sur l’appareil est ensuite transmis vers un serveur de commande et de contrôle, souvent abrégé C2.

Ce type d’attaque mobile inquiète les spécialistes depuis plusieurs années. Les codes à usage unique envoyés par SMS servent fréquemment à valider des opérations bancaires ou à confirmer une connexion. Lorsqu’un cybercriminel intercepte ces messages, il peut contourner une grande partie des protections de sécurité.

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes, chaque vendredi midi.

YouTube
WhatsApp
Google News
Autres

S’abonner à la NewsLetter

Une architecture technique sophistiquée

Les chercheurs d’Advanced Monitoring ont examiné l’échantillon malveillant et identifié une architecture en plusieurs étapes. Le fichier classes.dex externe agit comme un chargeur fortement obfusqué. Son rôle consiste à extraire une charge utile DEX dissimulée dans le répertoire assets sous le nom NwyavbTt.csz.

Ce module est ensuite chargé dynamiquement grâce à une injection ClassLoader. Cette technique complique l’analyse par les outils de sécurité et retarde la détection automatique.

La seconde étape active la logique principale du malware. Elle gère la communication avec le serveur C2, l’interception des SMS et l’identification détaillée de l’appareil infecté. Des mécanismes de persistance assurent le maintien du logiciel sur le téléphone même après un redémarrage.

Les documents techniques publiés décrivent également un masquage important du trafic réseau. Les paquets de communication, appelés pulsations, transmettent régulièrement au serveur l’état complet de l’appareil compromis. Les informations incluent l’état de l’écran, le niveau de batterie, les autorisations SMS accordées et la configuration du mode Doze d’Android, qui limite l’activité en arrière-plan.

Une configuration initiale permet de récupérer des paramètres supplémentaires depuis un point de terminaison identifié sous la forme /m/{build_id}. Les données renvoyées adoptent une structure de type PEM et sont chiffrées avec l’algorithme AES-256-GCM.

Alexander Rudzik, spécialiste principal de la recherche sur les cybermenaces chez Perspektivny Monitoring, explique que dissimuler des malwares dans des applications liées aux médias devient une stratégie courante. Selon lui, une approche comparable existait déjà dans la famille Mamont. L’échantillon actuel présente toutefois des caractéristiques techniques inédites.

Les chercheurs signalent que l’obfuscation multi-étapes et le camouflage avancé du trafic rendent l’analyse particulièrement complexe. L’absence de ce fichier sur les plateformes publiques de partage de malwares suggère également que la campagne reste à un stade précoce. Les premiers indices indiquent un ciblage d’utilisateurs situés en Russie.

Pour les analystes du renseignement cyber, ce type d’attaque illustre une tendance durable : les opérations financières frauduleuses s’appuient désormais sur l’exploitation directe des mécanismes d’authentification mobile.