Le premier espiongiciel d’un nouveau genre se faufile dans Google Play

ESET analyse le premier espiongiciel connu qui est construit sur l’outil d’espionnage open-source AhMyth et qui est apparu sur Google Play – deux fois.

Lukas Stefanko

Les chercheurs d’ESET ont découvert le premier espiongiciel (spyware) connu qui est construit sur les fondations du malware open-source AhMyth et a contourné le processus de validation des applications de Google.

L’application malveillante, appelée Radio Balouch aka RB Music, est en fait une application radio entièrement fonctionnelle pour les amateurs de musique balouchi, sauf qu’elle est livrée avec une très mauvaise surprise pour les utilisateurs – une fonctionnalité pour voler les données personnelles de ces derniers. L’application s’est glissée deux fois dans l’app store officiel d’Android, mais a été rapidement supprimée par Google à chaque fois après que nous avons alerté l’entreprise à ce sujet.

AhMyth, l’outil d’accès à distance open-source auquel l’application Radio Balouch a emprunté sa fonctionnalité malveillante, a été rendu public fin 2017. Depuis, nous avons été témoins de diverses applications malveillantes basées sur cette application, mais l’application Radio Balouch est la toute première à apparaître sur la boutique officielle des applications Android.

La solution de sécurité mobile d’ESET protège les utilisateurs d’AhMyth et de ses dérivés depuis janvier 2017 – avant même qu’AhMyth ne devienne publique. Comme la fonctionnalité malveillante d’AhMyth n’est pas cachée, protégée ou obscurcie, il est trivial d’identifier l’application Radio Balouch – et d’autres dérivés – comme étant malveillante, et de les classer comme appartenant à la famille AhMyth.

Outre Google Play, le logiciel malveillant, détecté par ESET sous le nom Android/Spy.Agent.AOX, était aussi disponible sur d’autres boutiques d’applications. De plus, un site Web dédié en assurait pour la diffusion, via Instagram et YouTube. Nous avons signalé la nature malveillante de la campagne aux fournisseurs de services respectifs, mais nous n’avons reçu aucune réponse.

Radio Balouch est une application de streaming radio entièrement fonctionnelle pour la musique spécifique à la région Balouchi (pour des raisons de cohérence, nous suivons l’orthographe utilisée dans la campagne; les transcriptions les plus courantes en anglais sont « Balochi » ou « Baluchi »). Cependant, l’application espionne ses victimes en arrière-plan.

Nous avons découvert deux fois différentes versions de l’application malveillante Radio Balouch sur Google Play. Dans chaque cas, l’application comptait plus de 100 installations. Nous avons signalé la première apparition de cette application sur la boutique officielle Android à l’équipe de sécurité de Google le 2 juillet 2019; elle a été retirée dans les 24 heures.

L’application malveillante Radio Balouch est réapparue sur Google Play le 13 juillet 2019. Comme auparavant, ESET a immédiatement avisé Google, qui l’a rapidement supprimée.

Article complet sur https://www.welivesecurity.com/fr/2019/08/28/nouveau-genre-espiongiciel-google-play/

Universities warned to brace for cyberattacks

The UK’s cybersecurity agency also outlines precautions that academia should take to mitigate risks

Tomáš Foltýn 

The United Kingdom’s National Cyber Security Centre (NCSC) has issued a stark warning to universities across the country, urging them to be on their guards against cyberattacks.

The main risk is, in fact, two-fold. Firstly, it comes from ne’er-do-wells seeking financial gain via what are often untargeted attacks. When the attacks are targeted, however, they “have the potential for greater financial impact”, notes the cybersecurity agency.

“Cybercrime will probably present the most evident and disruptive difficulties for universities,” reads the threat assessment.

At the same time, however, the report sounds the alarm on a more silent threat, one that is “likely to cause greater long-term damage” – state-sponsored attacks and espionage. These incursions seek strategic gain and are aimed at intellectual property theft from institutions that house valuable research data and other assets, which is largely why they fall in the crosshairs of cyberattackers.

To defend against incursions, the universities are being urged to ensure they have a range of basic measures in place. This includes security-conscious policies and strict authentication and access controls, as well as making sure that university networks are designed with security considerations in mind. Still, the very first line of defense, as noted by the report, is “good security awareness among staff and students”.

Techniques may be evolving but, courtesy of their high success rate, attacks involving social engineering remain a staple. Indeed, a team of ethical hackers recently conducted simulated attacks at more than 50 universities in the UK and, in each case, got their hands on high-value data within two hours. As we also wrote back then, key to the 100-percent success rate was spear-phishing, a targeted form of phishing that involves sending a bespoke email to a well-researched prospective victim.

Here is our list of measures that educational institutions are well advised to take in order to defend against cyberattacks.

https://www.welivesecurity.com/2019/09/19/universities-warned-brace-cyberattacks/?utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+eset%2Fblog+%28ESET+Blog%3A+We+Live+Security%29