En utilisant ce site, vous acceptez la Politique de confidentialité et les Conditions Générales de Vente.
Accepter
Le Blog de BBND – Actualités et nouvelles tendances du webLe Blog de BBND – Actualités et nouvelles tendances du web
  • News
  • Catégories
    • Actualités Numériques
    • Blockchain
    • Business Intelligence
    • Cybersécurité
    • Data
    • Développement Web
    • Hardware
    • Intelligence Artificielle
    • Mobile
    • Technologie
    • Web Design
    • Web Marketing
  • BBND
  • Qui sommes-nous
  • Initiatives
  • Réalisations
  • Formations
  • Recrutement
  • Contact
En cours de lecture : Un module d’espionnage de WhatsApp s’attaque aux utilisateurs arabophones
Partager
Notification Voir mes signets
Dernières actualités
Illustration représentant Rclone, un outil de synchronisation cloud en ligne de commande, avec une icône de cloud et flèches de transfert
Rclone : Guide complet pour synchroniser, sauvegarder et monter vos fichiers cloud
Technologie
Schéma comparatif entre IPMI, PiKVM et NanoKVM pour le contrôle à distance
IPMI, PiKVM ou NanoKVM : Quelle solution KVM choisir ?
Hardware
Des packages npm malveillants compromettent Cursor, volent des identifiants et cryptomonnaies, et déploient des chevaux de Troie. Détail des campagnes.
Une faille dans Cursor : plus de 3 200 développeurs infectés via des packages npm malveillants
Cybersécurité
Filament v3 laravel
Pourquoi Filament V3 change-t-il la donne pour les développeurs Laravel ?
Développement Web
Illustration d’un cerveau connecté à une intelligence artificielle, symbolisant la recherche contre Alzheimer
L’IA dévoile une cause possible d’Alzheimer et identifie une piste thérapeutique prometteuse
Intelligence Artificielle
Aa
Le Blog de BBND – Actualités et nouvelles tendances du webLe Blog de BBND – Actualités et nouvelles tendances du web
Aa
Recherche
  • News
  • Catégories
    • Actualités Numériques
    • Blockchain
    • Business Intelligence
    • Cybersécurité
    • Data
    • Développement Web
    • Hardware
    • Intelligence Artificielle
    • Mobile
    • Technologie
    • Web Design
    • Web Marketing
  • BBND
    • Qui sommes-nous
    • Initiatives
    • Réalisations
    • Formations
    • Recrutement
    • Contact
Suivez-nous
  • Personnaliser mes sujets d’intérêts
  • Mes signets
© 2023 BBND All Rights Reserved.
Le Blog de BBND – Actualités et nouvelles tendances du web > Tous les articles > Cybersécurité > Un module d’espionnage de WhatsApp s’attaque aux utilisateurs arabophones
Cybersécurité

Un module d’espionnage de WhatsApp s’attaque aux utilisateurs arabophones

Altair D.
De Altair D. 4 novembre 2023
Partager
8 min de lecture
écran noir dans lequel apparaît le vidage d'un homme à lunettes et chapeau noir
Partager

Pour remédier au manque de fonctionnalités de service de messagerie instantanée, des développeurs tiers proposent des mods offrant des fonctionnalités recherchées ou des améliorations esthétiques. Malheureusement, certains de ces mods contiennent des logiciels malveillants en plus des améliorations légitimes. En 2022, le cheval de Troie Triada a été découvert à l’intérieur d’un mod WhatsApp. Récemment, il s’agissait d’un mod Telegram avec un module d’espionnage intégré, distribué via Google Play. Il en va de même pour WhatsApp : plusieurs mods, contiennent un module d’espionnage détecté sous le nom de Trojan-Spy.AndroidOS.CanesSpy.

Fonctionnement du module d’espionnage

Utilisons l’exemple 80d7f95b7231cc857b331a993184499d pour illustrer le fonctionnement des modules espions.

Le manifeste du client trojanisé contient des composants suspects (un service et un récepteur de diffusion) qui ne se trouvent pas dans le client WhatsApp d’origine. Un récepteur de diffusion écoute les diffusions provenant du système et d’autres applications, telles que le téléphone qui commence à se charger, un message texte reçu ou le téléchargeur qui termine son téléchargement. Lorsque le récepteur reçoit un message de ce type, il appelle le gestionnaire d’événements. Dans le module d’espionnage de WhatsApp, le récepteur exécute un service qui lance le module d’espionnage lorsque le téléphone est allumé ou commence à se charger.

Aperçu des composants suspects du logiciel

Le service s’appuie sur la constante Application_DM du code du logiciel malveillant pour choisir le serveur de commande et de contrôle (C&C) que l’appareil infecté contactera.

aperçu du contenu du logiciel espion

Lorsqu’il démarre, le logiciel malveillant envoie une requête POST contenant des informations sur l’appareil au serveur de l’opérateur de la menace via le chemin /api/v1/AllRequest. Ces informations comprennent l’IMEI, le numéro de téléphone, le code du pays, le code du réseau mobile, etc. Le cheval de Troie demande également des détails de configuration, tels que les chemins d’accès pour le téléchargement de divers types de données, les intervalles entre les requêtes au centre de contrôle, etc. En outre, le module transmet toutes les cinq minutes des informations sur les contacts et les comptes de la victime.

extrait de code du spyware

Une fois les informations sur l’appareil téléchargées, le logiciel malveillant demande des instructions au C&C, à des intervalles préconfigurés (une minute par défaut). Le tableau ci-dessous contient une description détaillée des commandes et des chemins que le logiciel malveillant utilise pour envoyer des réponses au serveur.

CommandeChemin de réponse par défautDescriptionParamètres
GET_FILE/api/v1/UploadFileWithContinueEnvoi d’un fichier à partir d’un espace de stockage externe (mémoire hors système ou support amovible, tel qu’une carte SD) sous la forme d’une archive ZIPChemin d’accès au fichier sur le dispositif de la victime
UploadFileWithQuery/api/v1/UploadFileWithContinueEnvoi des fichiers d’un stockage externe correspondant à un filtre spécifié sous la forme d’une archive ZIPFiltre de ligne SQL SELECT utilisé pour sélectionner des données lors de l’appel à ContentResolver (la classe utilisée pour l’accès aux fichiers sur les appareils Android).
GetAllFileList/api/v1/SaveFileNamesEnvoi des chemins d’accès à tous les fichiers du stockage externe–
GET_SPEC_FILE_TYPE/api/v1/SaveFileNamesEnvoi des noms de fichiers ayant une extension spécifiéeFiltre de ligne SQL SELECT utilisé pour sélectionner les données lors de l’appel à ContentResolver
UpdateAllDeviceData/api/v1/AllRequestEnvoi d’informations sur l’appareil, l’application infectée (nom du paquet et version de l’implant espion), ainsi que sur les contacts et les comptes de la victime.–
RecordSound/api/v1/UploadSmallFileEnregistrer les sons émis par le microphoneDurée d’enregistrement en secondes
DeviceOtherData/api/v1/SaveResponseToFileEnvoi d’informations sur la configuration de l’implant espion–
ChangeMainDmain–Modification des serveurs de commande et de contrôleUne nouvelle adresse C&C
Get_Compressed_File/api/v1/UploadFileWithContinueEnvoi de fichiers à partir d’un stockage externe sous la forme d’une archive ZIPune liste des chemins d’accès aux fichiers à télécharger


Ce sont les messages envoyés au serveur de commande et de contrôle qui ont attiré l’attention d’experts en cybersécurité. Ceux-ci étaient tous rédigés en arabe, ce qui laisse supposer que le développeur parle également cette langue.

Comment les modules d’espionnage sont-ils diffusés ?

Une analyse des statistiques a montré que Telegram était la source principale de diffusion du spyware. La plupart des canaux Telegram découverts, dont le plus populaire comptait à lui seul près de deux millions d’abonnés, étaient principalement en arabe et en azéri.

Groupe Instagram diffusant des mods Whatsapp

Chacune des chaînes de la dernière version du mod (1db5c057a441b10b915dbb14bba99e72, fe46bad0cf5329aea52f8817fa49168c, 80d7f95b7231cc857b331a993184499d) contenaient le module d’espionnage décrit ci-dessus. Étant donné que les composants du logiciel malveillant ne faisaient pas partie du module original, plusieurs versions ont été examinées, amenant à l’identification de la première version infectée. Le logiciel espion est actif depuis la mi-août 2023. Actuellement, toutes les versions publiées dans les canaux depuis cette date contenaient des logiciels malveillants. Cependant, à partir du 20 octobre selon les horodatages de l’APK, au moins une des versions les plus récentes d’au moins un des canaux a été remplacée par une version propre.

Horodatage DEX dans l'application infectée (à gauche) et dans la version propre (à droite)

Outre les canaux Telegram, les mods infectés sont distribués par le biais de divers sites web douteux dédiés aux modifications de WhatsApp.

Zones touchées par les attaques du logiciel espion WhatsApp

Les solutions de sécurité Kaspersky ont déjoué plus de 340 000 attaques par le mod d’espionnage WhatsApp dans plus d’une centaine de pays entre le 5 et le 31 octobre 2023. Toutefois, si l’on tient compte de la nature du canal de distribution, le nombre réel d’installations pourrait être beaucoup plus élevé. Les cinq pays les plus touchés par cette attaque sont l’Azerbaïdjan, le Yémen, l’Arabie saoudite, l’Égypte et la Turquie.

Liste des pays touchés par le spyware avec graphique à barres horizontal

Une augmentation du nombre de mods d’applications de messagerie instantanée contenant des codes malveillants a été constatée. Les mods WhatsApp sont principalement distribués par l’intermédiaire de boutiques d’applications Android tierces, qui manquent souvent de filtrage et ne parviennent pas à supprimer les logiciels malveillants. Certaines de ces ressources, comme les boutiques d’applications tierces et les canaux Telegram, malgré leur grande popularité, ne garantissent pas la sécurité de leurs contenus. Pour préserver vos données personnelles, nous vous recommandons d’utiliser uniquement les clients de messagerie instantanée officiels. Si vous avez besoin de fonctionnalités supplémentaires, utilisez une solution de sécurité fiable capable de détecter et de bloquer les logiciels malveillants si le mod que vous avez choisi s’avère infecté.

Indicateurs de compromission

MD5
1db5c057a441b10b915dbb14bba99e72
fe46bad0cf5329aea52f8817fa49168c
80d7f95b7231cc857b331a993184499d
cbb11b28d2f79ad28abdc077026fc8f2
19c489bcd11d7eb84e0ade091889c913
3fda123f66fa86958597018e409e42c0

C&C
hxxps://application-marketing[.]com
hxxps://whatsupdates[.]com
hxxps://android-soft-store[.]com
hxxps://whats-media[.]com
hxxps://whats-mate[.]com
hxxps://whats-mate[.]net
hxxps://whats-mydns[.]com
hxxps://whats-mydns[.]net
hxxps://whats-vpn[.]com
hxxps://whats-vpn[.]net

Sites web distribuant des mods malveillants

hxxps://whatsagold[.]app
hxxps://watsabplusgold[.]com
hxxps://www.whatsgold[.]app
hxxps://www.3ssem[.]com
hxxps://goldnwhats[.]app
hxxps://omarwhats[.]app

Vous devriez également aimer

Une faille dans Cursor : plus de 3 200 développeurs infectés via des packages npm malveillants

Alerte : Un faux plugin de sécurité WordPress utilisé pour propager un malware

Data Smuggling avec les émojis : l’astuce méconnue d’Unicode

Fuite majeure chez DeepSeek : clés API et logs dévoilés

Une campagne de malvertising cible les utilisateurs de Google Ads

Partager cet article
Facebook Twitter LinkedIn Copier le lien Imprimer
Qu´en avez-vous pensé ?
Ennuyant0
Triste0
Révoltant0
Drôle0
Accablant0
Plaisant0
Malin0
Surprenant1
Waouh0
Article précédent Plan large de la maison blanche, encadrée par une cour arborée Biden publie un décret sur l’IA demandant aux agences d’élaborer des lignes directrices en matière de sécurité
Article suivant Comment s’accorder une pause avec son téléphone Android ?
Laisser un avis

Laisser un avis Annuler la réponse

Vous devez vous connecter pour publier un commentaire.

Restez connecté

Facebook Like
Twitter Suivre
Instagram Suivre
Youtube S´inscrire
banner banner
Faites confiance à BBND
Développez tous vos projets digitaux grâce à une équipe d'experts
En savoir plus

Dernières actualités

Illustration représentant Rclone, un outil de synchronisation cloud en ligne de commande, avec une icône de cloud et flèches de transfert
Rclone : Guide complet pour synchroniser, sauvegarder et monter vos fichiers cloud
Technologie
Schéma comparatif entre IPMI, PiKVM et NanoKVM pour le contrôle à distance
IPMI, PiKVM ou NanoKVM : Quelle solution KVM choisir ?
Hardware
Des packages npm malveillants compromettent Cursor, volent des identifiants et cryptomonnaies, et déploient des chevaux de Troie. Détail des campagnes.
Une faille dans Cursor : plus de 3 200 développeurs infectés via des packages npm malveillants
Cybersécurité
Filament v3 laravel
Pourquoi Filament V3 change-t-il la donne pour les développeurs Laravel ?
Développement Web
//

Le blog BBND
Actualités et nouvelles tendances du numérique

Catégories news

  • Actualités Numériques
  • Blockchain
  • Business Intelligence
  • Cybersécurité
  • Data
  • Développement Web
  • Intelligence Artificielle
  • Hardware
  • Mobile
  • Technologie
  • Web Design
  • Web Marketing

Notre société

  • Qui sommes-nous
  • Initiatives
  • Réalisations
  • Formations
  • Recrutement
  • Contact

Liens utiles

  • Mentions légales
  • CGV
  • Politique de confidentialité

Nos services

  • Développement web/mobile/desktop
  • SEO
  • Stratégie de communication & Community management
  • Audit d’ergonomie
  • Solutions de cybersécurité
  • Outils de cybersécurité
  • E-droit & E-réputation
  • Innovation de service & Innovation technologique
  • Intelligence Artificielle & Business Intellligence
  • Design graphique
  • Jeux mobile
  • Motion design
  • Impression tout support
Le Blog de BBND – Actualités et nouvelles tendances du webLe Blog de BBND – Actualités et nouvelles tendances du web
Suivez-nous

© 2023 BBND. All Rights Reserved.

Un projet digital ?

Notre équipe d'experts couvre de larges domaines du numérique

Contactez-nous pour nous en faire part !

Supprimé de la liste de lecture

Annuler
Welcome Back!

Sign in to your account

Mot de passe perdu ?