Archives par mot-clé : spyware

Le spyware Igexin infecte plus de 500 app mobiles sur Google Play

Les applications infectées par Igexin ont été téléchargées plus de 100 million de fois dans l’écosystème Android.

L’équipe de recherche de Lookout, le leader mondial de la sécurisation de la mobilité vient d’annoncer dans un article de blog la mise à jour d’un SDK publicitaire appelé Igexin qui a infecté plus de 500 applications mobiles légitimes du portail Google Play afin de permettre l’installation d’un spyware sur les smartphones et tablettes.

Igexin permettait d’installer sur les appareils un plugin espionnant les actions des utilisateurs et, l’équipe de spécialistes en sécurité mobile de Lookout confirme que ce sont au moins 500 applications Android qui sont concernées et que celles-ci ont été téléchargées plus de 100 millions de fois dans l’écosystème Android.

Les applications android concernées incluaient des jeux (dont l’un téléchargé plus de 50 millions de fois), des applications météorologiques (dont une téléchargée plus de 1 million de fois), des webradios, des éditeurs de photographie (dont l’un téléchargé plus de 1 million de fois) ou encore des applications utilitaires.

L’équipe de spécialistes en sécurité mobile de Lookout a notamment observé le téléchargement de fichiers chiffrés depuis Igexin permettant l’installation a posteriori de malwares en contournant les mécanismes de surveillance habituels détectant la présence de logiciels malveillants dans les applications disponibles sur le portail de Google Play.

Les utilisateurs de Lookout sont protégés de ce spyware. Lookout a informé Google des fonctionnalités d’Igexin, et les applications ont été enlevées du portail Google Play, ou remplacées par des versions mises à jour ne contenant ce spyware invasif. Plus de renseignements sur Igexin peuvent être retrouvés dans l’article de blog.

Amazon retire de la vente des smartphones Chinois BLU

La boutique en ligne Amazon vient de retirer de la vente des smartphones Chinois de la marque BLU. Un logiciel espion y était caché à l’insu du constructeur !

Les téléphones portables BLU ont le blues ! Les smartphones sont des cibles privilégiées dès que cela concerne l’interception de données. Des sociétés se sont spécialisées dans ce genre d’agissement, comme l’entreprise Chinoise Adups. Cette entreprise avait diffusé, il y a quelques mois, un spyware via des smartphones sortis d’usine. L’éditeur de solutions de sécurité informatique Kryptowire avait découvert en octobre 2016 qu’ADUPS avait équipé des téléphones portables à petit prix de son spyware et récupérait de nombreuses données personnelles via les téléphones infiltrés dont les messages, et les appels.

Dix mois plus tard, l’espion d’ADUPS a été modifié et de nouveau caché dans des smartphone low-cost dont ceux de la société BLU. Un spyware caché dans la chaîne d’assemblage des appareils. Le problème pour Adups est qu’une fois encore, son petit manège a été détecté par Kryptowire qui a expliqué le fonctionnement de cet espionnage lors du Black Hat de Las Vegas, l’avant DEF CON. Seulement, cette fois, un dommage collatéral vient d’apparaître.

L’un des fabricants de téléphone, lui même piégé cette infiltration, vient de voir ses téléphones interdits à la vente sur Amazon. La cyber boutique américaine a retiré de son référencement l’intégralité des produits de BLU.

Le FBI utilise Flash d’Adobe pour infiltrer des pédophiles

Les enquêteurs du FBI ont utilisé un logiciel espion passant par de fausses publicités au format flash pour stopper des pédophiles.

Il y a quelques jours, un pédophile notoire était arrêté par le FBI. Luis Escobosa, a été incarcéré  pour s’être rendu sur un site pédophile. Il lui a été aussi reproché d’avoir utilisé et téléchargé des  photos et des vidéos à partir de différents sites web dédiés à la pornographie juvénile.

Le FBI a arrêté l’homme originaire de Staten Island, vendredi dernier. Le FBI a expliqué au tribunal son mode d’action. Le pédophile utilisait, entre autre, le site PlayPen. Un portail du blackmarket fort de 215.000 utilisateurs. Un site qui a été fermé, par le FBI, en Mars 2015. Seulement, avant sa fermeture définitive, les agents spéciaux avaient installé des spywares dans ce site, sous forme de publicités au format flash, un outil de la société Adobe. Durant quelques semaines, Mulder et Scully ont pu suivre à la trace les utilisateurs de PlayPen, dont Luis Escobosa.

Les Spywares ont été utilisés pendant un certain temps par le FBI. Un outil créé par un white hat du nom de HD Moore qui exploite Metasploit Decloak v2. Le processus fonctionne assez simplement. Un fichier, généralement un fichier flash, est hébergé par un site de pornographie juvénile saisis par les forces de l’ordre. Le fichier est envoyé naturellement et automatiquement (sauf si les navigateurs refusent de lire des documents de la société Adobe, NDR) dans les navigateurs Web des visiteurs. Ce fichier Flash était exécuté dans le plugin Adobe et établissait une connexion directe avec un serveur contrôlé par le FBI, sans que TOR ne puisse « cacher » l’ip des internautes pédophiles.

Pirate Versus Pirate

Un groupe de pirates s’attaque à un concurrent. De cette confrontation sont apparues les guerres des menaces persistantes avancées (APT).

L’éditeur de solution de sécurité informatique Kaspersky Lab a observé un cas qu’ils considèrent rare et inhabituel, une attaque perpétrée par un cybercriminel contre un autre. Ils ne doivent pas trainer souvent dans certains chans IRC, forums ou Twitter. Les pirates aiment se taper dessus. Le cas révélé par la société Russe a débuté en 2014. Hellsing, un petit groupe de cyber espions, assez  « anodin » sur le plan technique et ciblant principalement des organismes gouvernementaux et diplomatiques en Asie, a fait l’objet d’une attaque de spear-phishing. Cette attaque a été lancée par un autre groupe de cybercriminels et Hellsing a décidé de répliquer. Kaspersky Lab pense que cela pourrait marquer le début d’une nouvelle tendance dans le monde de la cybercriminalité : les guerres des APT (menaces persistantes avancées).

La découverte a été faite pendant leurs recherches sur les activités de Naikon, un groupe de cyber espionnage visant des cibles dans la zone Asie-Pacifique. Les experts ont remarqué que l’une des cibles de Naikon avait repéré la tentative d’infection de ses systèmes par un e-mail de spear-phishing comportant une pièce jointe malveillante. Le destinataire a vérifié l’authenticité de l’e-mail auprès de l’expéditeur et, apparemment non satisfait de la réponse, n’a pas ouvert la pièce jointe. Peu après, il a renvoyé à l’expéditeur un message contenant un malware de son cru.

Le mode de contre-attaque indique que Hellsing voulait identifier le groupe Naikon et recueillir des informations à son sujet. Une analyse approfondie de la menace Hellsing révèle une succession de mails de spear-phishing accompagnés de fichiers malveillants conçus pour propager un spyware entre les différents destinataires. Si l’un d’entre eux ouvre la pièce jointe malveillante, son système est infecté par un backdoor spécifique, capable de télécharger des fichiers, de se mettre à jour et de se désinstaller. Hellsing compterait près d’une vingtaine de victimes.

Les cibles de Hellsing
Le malware Hellsing a été bloqué en Malaisie, aux Philippines, en Inde, en Indonésie et aux Etats-Unis, les victimes étant les plus nombreuses dans les deux premiers pays. Les auteurs des attaques sont par ailleurs très sélectifs dans le choix de leurs cibles, tentant d’infecter principalement des organismes gouvernementaux et diplomatiques. « Le fait que le groupe Naikon ait été pris pour cible par Hellsing en représailles est pour le moins fascinant. Par le passé, nous avons assisté à des frappes accidentelles entre groupes APT, résultant du vol du carnet d’adresses des victimes puis d’un envoi massif à tous les destinataires répertoriés. Cependant, compte tenu du caractère ciblé et de l’origine de l’attaque, il paraît plus probable qu’il s’agisse d’un cas d’attaque délibérée entre APT », commente Costin Raiu, Directeur de l’équipe GReAT de Kaspersky Lab. Hellsing serait actif depuis au moins 2012 et demeure d’actualité.

Pour se protéger contre les attaques Hellsing, mais aussi par toutes les autres possibilités malveillantes débarquant par mail, DataSecurityBreach.fr vous conseille de ne pas ouvrir les pièces jointes suspectes provenant d’expéditeurs inconnus. De prendre garde aux archives protégées de mot de passe et contenant des fichiers SCR ou d’autres exécutables. En cas de doute sur une pièce jointe, essayer de l’ouvrir dans une zone de quarantaine. Veiller à disposer d’un système d’exploitation récent et à y installer tous les correctifs de sécurité. Mettre à jour toutes les applications telles que Microsoft Office, Java, Adobe Flash Player et Adobe Reader.