Meta (Facebook) a publié son rapport sur les menaces contradictoires du deuxième trimestre 2022. Dans ce témoignage, la chose à voir est la découverte de deux clusters de cyber-espionnage associés à des groupes de hackers connus sous le nom de ‘Bitter APT’ et APT36 (alias ‘Transparent Tribe’) utilisant un nouveau malware Android.
Dans le but de collecter des renseignements (OSINT) ou de prendre en charge les victimes utilisant de fausses personnalités, puis de les attirer vers des plateformes externes pour télécharger des logiciels malveillants, les plateformes de médias sociaux comme Facebook sont utilisées par ces cyberespionnages.
Plus tôt cette année, APT36 et Bitter APT avaient été trouvés en train d’organiser des campagnes de cyber-espionnage, d’où le dernier rapport publié par Facebook donne un nouvel aspect aux activités qu’ils ont menées ces derniers temps.
Lors d’une campagne, le gouvernement indien venait d’être exposé à être ciblé à l’aide d’outils de contournement de l’AMF par l’acteur parrainé par l’État aligné sur le Pakistan.
Le Bitter APT avait également été découvert en mai 2022. À ce moment-là, le gouvernement du Bangladesh a été découvert en train d’être agressé avec un nouveau logiciel malveillant pouvant être exécuté à distance.
Bitter APT utilise un nouveau logiciel espion Android
Meta a déclaré que Bitter APT exécutait ses assauts en Inde, au Pakistan, en Nouvelle-Zélande et au Royaume-Uni en utilisant de longs échanges et en investissant beaucoup de temps et d’efforts dans diverses campagnes d’ingénierie sociale.
Le seul but du groupe était de contaminer les cibles avec des logiciels malveillants. Et pour y parvenir, il a utilisé une combinaison de services de raccourcissement d’URL, de portails compromis et de fournisseurs d’hébergement de fichiers tiers.
Meta a déclaré dans le rapport : “Ce groupe a répondu de manière agressive à notre détection et au blocage de son activité et de son infrastructure de domaine”.
“Par exemple, Bitter tenterait de publier des liens brisés ou des images de liens malveillants afin que les gens soient obligés de les saisir dans leur navigateur plutôt que de cliquer dessus, le tout dans le but d’échapper sans succès à l’application de la loi.”
Le nouveau malware révélé par Facebook que Meta nommé ‘Dracarys’ est une application Android’. Il se donne des consentements accrus sans l’approbation de l’utilisateur pour abuser des services d’accessibilité.
Afin d’agir comme un logiciel espion afin qu’il puisse voler des messages texte, installer des applications et enregistrer de l’audio, il s’insérerait alors dans plusieurs applications Android.
“Bitter a injecté des Dracarys dans des versions trojanisées (non officielles) de YouTube, Signal, Telegram, WhatsApp et des applications de chat personnalisées capables d’accéder aux journaux d’appels, aux contacts, aux fichiers, aux SMS, à la géolocalisation, aux informations sur l’appareil, à la prise de photos, à l’activation du microphone et installer des applications », explique le rapport de Meta.
Meta souligne que toutes les suites antivirus disponibles n’ont pas réussi à détecter Dracarys, ce qui explique les capacités de Bitter à créer des logiciels malveillants personnalisés sournois.