Une fausse appli de rencontre tente actuellement de piéger certains utilisateurs Android. L’application sert de cheval de Troie pour installer GhostChat sur votre smartphone. Ce virus va piller toutes vos données, tandis qu’un pirate converse avec vous sur WhatsApp en se faisant passer pour une prétendante. L’opération s’inscrit dans une vaste campagne d’espionnage qui vise à la fois les téléphones et les ordinateurs.
Une vaste opération d’espionnage vise les smartphones Android. Découverte par les chercheurs d’ESET, la campagne s’appuie sur une application malveillante. L’application se présente comme une plateforme de rencontres en ligne directement connectée à WhatsApp. L’app est massivement diffusée sur Internet sous la forme de fichiers APK.
Pour berner les internautes, les cybercriminels ont copié l’icône d’une véritable application de rencontres amoureuses, disponible sur le Google Play Store, à savoir « Dating Apps without payment ». Cette application frauduleuse est uniquement taillée pour installer un malware du nom de GhostChat sur le smartphone.
À lire aussi : 9 millions d’Android compromis – Google démantèle l’un des plus grands réseaux pirates du monde
De faux profils et une fausse conversation sur WhatsApp
Une fois installée, l’application affiche de faux profils féminins soi-disant « verrouillés ». Comme l’a remarqué ESET, la page d’accueil de l’app se compose de 14 faux profils de femmes. Cette astuce permet de piquer la curiosité des victimes, qui vont évidemment vouloir entrer en contact avec les prétendantes.
L’utilisateur doit entrer un code d’accès pour pouvoir débloquer l’accès et discuter avec les jeunes femmes. La victime reçoit directement le code à entrer dans l’application. Cette manipulation donne à l’internaute l’impression d’utiliser un service premium. Il s’agit d’une « simple technique d’ingénierie sociale visant probablement à créer l’illusion d’un “accès exclusif” pour les victimes potentielles », explique le chercheur Lukas Stefanko à l’origine de la découverte.
Dès que la victime entre un code pour « débloquer » un profil, elle est dirigée sur une conversation sur WhatsApp avec l’un de ces faux comptes. La victime pense discuter avec une vraie personne, mais elle communique en fait avec des cybercriminels ou un bot dédié.
Un pillage de vos données
Tandis que l’internaute échange sur WhatsApp avec un faux profil, le virus GhostChat a fait son entrée sur le téléphone. En arrière-plan, il surveille tous les fichiers stockés sur l’appareil, récupère les photos prises avec le téléphone, la liste complète des contacts, et les envoie régulièrement sur un serveur à distance.
Chaque nouvelle image enregistrée dans la pellicule est automatiquement envoyée aux pirates. Ce sont des montagnes de données confidentielles qui finissent rapidement entre les mains des cybercriminels.
En conversant avec l’interlocuteur sur WhatsApp, les pirates s’assurent que l’application malveillante reste installée suffisamment longtemps sur le smartphone. Pour l’internaute, la conversation en cours est la preuve que la plateforme de rencontres installée est légitime, alors qu’il s’agit d’une arnaque. C’est « une technique d’escroquerie sentimentale inédite », estime le chercheur.
À lire aussi : Vague d’attaques contre Windows – les pirates ont 2 nouvelles tactiques pour propager des virus
Une campagne d’espionnage à plusieurs visages
Les chercheurs d’ESET affirment que GhostChat n’est qu’une petite partie d’une campagne d’espionnage d’envergure. Les experts ont remarqué que le même gang orchestre actuellement des attaques de type ClickFix sur les ordinateurs Windows. Cette opération incite les victimes à exécuter elles-mêmes du code malveillant en suivant de fausses instructions. Pour berner leurs cibles, les criminels s’appuient sur des sites web factices imitant des organismes gouvernementaux et affichent de fausses alertes de sécurité. Ces derniers mois, les cyberattaques de type ClickFix se sont multipliées, que ce soit à l’encontre de Windows, Facebook ou encore Google Chrome.
Par ailleurs, le gang orchestre aussi des attaques reposant sur un mécanisme intitulé GhostPairing. Cette tactique détourne la fonction « Appareils liés » de WhatsApp pour espionner ou prendre le contrôle d’un compte, sans devoir subtiliser des mots de passe ou des identifiants. Là encore, l’opération repose sur un faux portail gouvernemental. Ce site invite l’internaute à rejoindre une communauté « officielle » sur WhatsApp. Pour « entrer » sur ce groupe, la victime doit scanner un QR code avec son téléphone.
Sans surprise, ce QR code n’ouvre pas de groupe. Il déclenche plutôt la fonction « Appareils liés » de WhatsApp et associe en douce le compte de la victime à un appareil contrôlé par les pirates. Une fois ce couplage GhostPairing effectué, les attaquants peuvent consulter l’historique des conversations, les contacts et tous les futurs messages envoyés ou reçus, comme s’ils étaient connectés directement au compte de la cible. Pour le moment, les pirates à l’origine de l’attaque visent exclusivement les internautes qui résident au Pakistan. Comme toujours, on vous recommandera de ne pas installer d’applications inconnues en dehors du Play Store.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.