Archives par mot-clé : Lookout

APT, backdoor, Cybersécurité, VPN

DCHSpy : un spyware Android ciblant dissidents et journalistes en Iran

Découverte d’un nouveau logiciel espion Android, DCHSpy, utilisé pour cibler des utilisateurs recherchant l’anonymat en Iran, dans un contexte de tensions accrues entre l’Iran et Israël.

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

 

DCHSpy, un outil de surveillance numérique sophistiqué diffusé via de faux VPN

Les analyses menées par les chercheurs de Lookout ont permis de mettre au jour la campagne de diffusion de DCHSpy, un programme malveillant sophistiqué récemment découvert pour la première fois en juillet 2024. Selon les constatations, DCHSpy est associé au ministère du Renseignement et de la Sécurité de la République islamique d’Iran, connu sous le nom de MOIS. Ce logiciel espion aurait également des liens opérationnels avec la cellule MuddyWater, identifiée par les spécialistes comme un groupe agissant dans l’intérêt du gouvernement iranien. MuddyWater est aussi référencé sous plusieurs autres appellations telles que Boggy Serpens, Cobalt Ulster, TA450, Seedworm et Static Kitten dans les rapports internationaux.

DCHSpy se démarque par sa capacité à être intégré dans des applications prétendument légitimes, principalement des services VPN destinés à contourner la censure de l’Internet en Iran. Les experts ont recensé au moins quatre variantes du logiciel malveillant diffusées à peine une semaine après le début des hostilités récentes entre l’Iran et Israël. Les noms des applications trompeuses incluent notamment Earth VPN, Comodo VPN et Hide VPN. Les fichiers d’installation, ou APK, adoptent parfois des appellations comme « starlink_vpn(1.3.0)-3012 (1).apk », misant ainsi sur la popularité du service Starlink, le fournisseur de connectivité satellitaire développé par SpaceX. Cette utilisation du nom Starlink constitue un appât particulier depuis que ce service a été brièvement opérationnel en Iran, suite aux restrictions d’accès à Internet imposées par les autorités et à l’adoption ultérieure d’une loi interdisant son usage.

« DCHSpy collecte des données sensibles telles que les conversations WhatsApp, les contacts, les SMS, les fichiers, la géolocalisation, les journaux d’appels, les enregistrements audio et des photos prises à l’insu de l’utilisateur. »

Dès les premières phases de sa diffusion, DCHSpy s’est propagé principalement via des chaînes Telegram, en anglais et en persan, ciblant des personnes souhaitant échapper à la surveillance d’État. Les sujets abordés dans ces groupes allaient à l’encontre des positions officielles du régime, renforçant l’attrait pour ces VPN présentés comme moyens fiables d’obtenir un accès non filtré à Internet. Cette approche s’adresse en priorité à une population déjà vulnérable face à la surveillance gouvernementale, tels que les dissidents politiques, les journalistes et les défenseurs des droits humains.

Les chercheurs n’ont pas encore pu établir avec précision le nombre total de victimes. Cependant, les premières analyses indiquent une volonté claire de la part des opérateurs de DCHSpy de cibler des individus dont l’activité en ligne présente un intérêt pour le gouvernement iranien. La diffusion par liens malveillants, transmis directement via les messageries instantanées comme Telegram, offre aux attaquants la possibilité de viser spécifiquement certains groupes, tout en évitant l’exposition massive susceptible d’alerter les solutions de sécurité classiques.

 

⏳ Jusqu’où tolérerez-vous d’être piraté ?

CTI ZATAZ – Scannez les menaces vous concernant avant qu’il ne soit trop tard.

✅ Scanner mes risques

Confidentiel. Instantané. Sécurisé. Zéro intermédiaire. 100 % Made in France.

Une menace persistante et adaptative dans le paysage de la cybersurveillance régionale

DCHSpy est conçu selon une architecture modulaire qui lui permet d’étendre ses fonctionnalités à distance et d’adapter ses modules selon les besoins des opérateurs. Le logiciel peut accéder à une large gamme d’informations personnelles, allant des échanges sur les applications de messagerie aux données de localisation. Il dispose également de capacités de prise de contrôle du micro et de la caméra du terminal infecté, permettant ainsi d’enregistrer sons et images à l’insu de la cible.

L’utilisation de la marque Starlink comme vecteur d’infection intervient dans un contexte particulier. Après l’introduction temporaire de la connectivité satellitaire Starlink en Iran, suite à l’intensification de la censure étatique, le parlement iranien a voté une législation interdisant l’usage de ce service sur le territoire. Cette interdiction, relayée dans les médias officiels, n’a pas empêché la multiplication d’applications se présentant comme des solutions pour accéder à Starlink, facilitant la diffusion de DCHSpy auprès d’une population avide de moyens de communication sécurisés.

Les investigations menées montrent que DCHSpy partage son infrastructure de commandement et de contrôle avec d’autres logiciels malveillants précédemment associés à MuddyWater. Cette infrastructure, souvent hébergée à l’étranger, est exploitée pour la gestion des données exfiltrées et la transmission des mises à jour du malware. Les fonctionnalités avancées de DCHSpy en font un outil de surveillance de choix pour les services de renseignement, qui peuvent ainsi surveiller de près les activités en ligne de leurs cibles tout en contournant les mesures de sécurité habituelles.

« DCHSpy se propage essentiellement via des liens malveillants transmis dans les messageries instantanées, une technique qui permet d’éviter la détection par les plateformes officielles de téléchargement d’applications. »

La distribution initiale de DCHSpy s’est faite de manière ciblée, privilégiant les groupes de discussion et forums fréquentés par des utilisateurs critiques envers les autorités. Ce mode opératoire, déjà observé dans d’autres campagnes de MuddyWater, permet de limiter la visibilité du malware et de maximiser ses chances d’infiltration auprès de cibles spécifiques. L’efficacité de cette stratégie repose sur la confiance accordée aux recommandations circulant dans ces réseaux fermés, ainsi que sur la difficulté pour les éditeurs d’applications officielles de repérer et bloquer la diffusion de ces fichiers APK non répertoriés.

L’évolution de DCHSpy témoigne de la capacité des acteurs soutenus par des États à adapter rapidement leurs méthodes aux événements géopolitiques régionaux. Le contexte de tension entre l’Iran et Israël a sans doute servi de catalyseur à la propagation accélérée du malware, les opérateurs cherchant à profiter de la confusion et du besoin accru de solutions de contournement de la censure.

À ce jour, aucun acteur de la cybersécurité n’a pu identifier avec certitude le nombre de terminaux compromis ni mesurer précisément l’ampleur des dégâts potentiels. Toutefois, les outils de collecte de données déployés par DCHSpy permettent d’envisager un risque élevé pour la vie privée et la sécurité des individus ciblés. Les données récupérées incluent des informations particulièrement sensibles, susceptibles d’être utilisées à des fins de répression ou de chantage, notamment contre les militants et les journalistes.

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

BYOD, Chiffrement, Cloud, Communiqué de presse, Cybersécurité, Entreprise, iOS

Lookout et Apple renforcent les mobiles sous iOS

Lookout renforce sa solution Mobile Endpoint Security pour améliorer la productivité des flottes entreprises mobiles IOS.

Lookout, spécialiste de la sécurisation de la mobilité, a étendu sa solution de sécurité d’entreprise, Mobile Endpoint Security, pour répondre aux besoins des organisations qui ont fait le choix de la plateforme iOS et accélérer l’adoption de la mobilité sécurisée en entreprise.

Lookout et Apple reconnaissent l’impact que peut avoir le mobile sur le monde du travail et ont identifié qu’avec l’augmentation de la productivité mobile, les entreprises développent de plus en plus leurs propres applications. En tant que nouveau partenaire mobilité d’Apple, Lookout lance fonction d’analyse des applications internes/métiers des entreprises pour permettre aux entreprises qui développent leurs propres applications iOS de pouvoir analyser rapidement la conformité en termes d’accès et d’utilisation données et identifier les risques de sécurité. En utilisant l’option d’analyse des applications incluse dans la solution Mobile Endpoint Security de Lookout, les applications d’entreprises iOS personnalisées sont uploadées dans l’infrastructure de sécurité Lookout pour être vérifiées par rapport à base de données existante de plus de 40 millions d’applications et permettre d’identifier les anomalies avant leur distribution par le biais des magasins d’applications internes.

De nombreuses entreprises ont des politiques de conformité uniques qui précisent comment les données doivent être stockées et sont transmises, y compris pendant leur utilisation sur des appareils mobiles et des applications. Certaines applications mobiles ou réseaux wi-fi peuvent compromettre ces politiques. Par exemple, les applications d’entreprises développées par des tiers et distribuées par les magasins d’applications internes peuvent ne pas avoir de chiffrement suffisant pour protéger les données clients ou patients.

« Les entreprises doivent avoir l’assurance que leurs données sont sécurisées tandis que leurs employés travaillent partout à travers le monde. », explique Santosh Krishnan, chef de produit chez Lookout. « La nouvelle fonctionnalité d’analyse des applications permet de vérifier le niveau de conformité des applications mobiles dans le cadre de notre mission collective de permettre aux organisations d’adopter de nouveaux modes de productivité mobile de la façon la plus transparente possible. »

En plus d’examiner des applications personnalisées, la solution Mobile Endpoint Security de Lookout peut également examiner les applications téléchargées depuis l’App Store. Bien que déjà examinées et approuvée par le strict processus de validation existant des applications de l’App Store d’Apple, certaines applications peuvent quand même envoyer automatiquement les contacts ou des informations de géolocalisation vers un serveur externe et être ainsi en contradiction directe avec les politiques établies de l’entreprise. De plus, avec la progression de la mobilité, les employés se connectent souvent à des réseaux Wi-Fi publics qui peuvent exposer les données de l’entreprise en transit.

La solution Mobile Endpoint Security de Lookout étend la sécurité intégrée de la plateforme iOS en exploitant son infrastructure de sécurité propriétaire pour fournir aux entreprises la visibilité et la possibilité de protéger leurs applications, distribuées via MDM pour iOS, des menaces réseaux et des comportements suspects. Grâce à la solution Mobile Endpoint Security, les clients de Lookout peuvent :

  • Identifier les risques qui peuvent menacer les applications construites en interne : Alors que les entreprises développent des applications propriétaires pour faciliter des flux de travail mobiles et améliorer la productivité de leurs employés et clients, les développeurs seront en mesure de présenter rapidement des applications pour analyse. Cet avis peut fournir des données immédiates sur les comportements non conformes, les logiciels malveillants et les vulnérabilités de code, tout en offrant la possibilité de détecter une application qui fait appel à des APIs non autorisées ou privées.
  • Permettre aux employés mobiles de travailler en toute sécurité : Lookout sécurise les appareils mobiles et les données par le biais d’une analyse automatique de l’appareil à chaque connexion réseau pour le protéger contre les attaques et permettre aux informations d’être transmises en toute sécurité.
  • Prendre les mesures nécessaires pour rester conforme, même sur mobile : Avec la solution Mobile Endpoint Security de Lookout, les entreprises ont maintenant la visibilité requise sur les applications installées sur les appareils mobiles de leurs employés qui peuvent ne pas être en conformité avec les politiques de sécurité établies de l’entreprise et / ou des règlements de l’industrie. Exclusivement pour iOS, les entreprises peuvent voir quelles applications se connectent aux services cloud et celles qui pourraient enfreindre la politique des données de l’entreprise, telles que celle du partage des contacts et celle des informations de localisation. Lookout fournira également aux entreprises de la visibilité sur la bonne utilisation par les applications iOS des nouvelles fonctionnalités en matière de sécurité dans iOS.

Lookout Mobile Endpoint Security est vendu grâce au programme de partenaires de Lookout. Pour les employés d’entreprises utilisatrices d’iOS, l’application de Lookout peut être téléchargée à partir de l’App Store. Pour en savoir plus sur Mobile Endpoint Security de Lookout, connectez-vous sur www.lookout.com.