Des chercheurs de Lookout, une société américaine spécialisée en cybersécurité mobile, ont découvert une grande opération d’espionnage numérique à l’encontre des smartphones. L’opération, qui vise autant des smartphones Android que des iPhone, a été orchestrée par des hackers à louer. Ces mercenaires louent leurs services au plus offrant. Les investigations de Lookout ont permis de lier le groupe criminel à « BITTER APT », une entité proche du gouvernement indien. Les chercheurs estiment que l’opération d’espionnage pourrait avoir été mise en place par plusieurs entités indiennes, dont la société Appin. Celle-ci a déjà été accusée à plusieurs reprises du piratage de dirigeants d’entreprises, des politiciens et des militaires à travers le monde.
Parmi les victimes de la cyberattaque, on trouve des cibles sensibles, dont deux journalistes égyptiens et un journaliste libanais. Les experts ont aussi identifié des cibles dans les gouvernements bahreïni et égyptien, ainsi qu’aux Émirats arabes unis, en Arabie saoudite, au Royaume-Uni, et potentiellement aux États-Unis. Le périmètre de l’attaque est donc particulièrement large.
À lire aussi : Une grande opération d’espionnage russe vient d’être neutralisée par le FBI
Deux tactiques de piratage bien distinctes
Pour s’emparer des données de leurs victimes, les hackers ont utilisé deux approches différentes. Si la victime utilise un smartphone Android, les cybercriminels se sont servis d’un logiciel espion. Baptisé ProSpy, le virus était dissimulé dans de fausses versions d’applications populaires comme Signal, WhatsApp, Zoom, mais aussi ToTok et Botim, deux apps très utilisées au Moyen-Orient. Une fois installé, ce logiciel espion prenait le contrôle total de l’appareil et exfiltrait une panoplie de données. Selon Lookout, « ProSpy dispose de nombreuses fonctionnalités d’espionnage classiques permettant d’exfiltrer des données sensibles telles que les contacts, les SMS, les informations matérielles et logicielles de l’appareil, ainsi que des fichiers locaux d’intérêt ».
En cas d’offensive sur l’iPhone, les pirates ont utilisé une tactique différente. Au lieu de compromettre l’appareil, ils ont déployé des campagnes de phishing destinées à s’emparer des identifiants Apple de leurs cibles. Avec les identifiants subtilisés, les attaquants ont ensuite pu accéder aux sauvegardes iCloud des iPhone dans leur viseur. Ces sauvegardes contiennent tout ce que recherchent les commanditaires de l’opération, à savoir des messages, des photos, des contacts, et des mots de passe. Comme l’explique l’ONG libanaise Smex, spécialisée dans la défense des droits numériques en Asie de l’Ouest et en Afrique du Nord, « la fenêtre d’attaque n’a duré que 30 secondes environ, entre le moment où le mot de passe a été soumis et la prise de contrôle totale du compte ». L’ONG souligne que les pirates sont parvenus à intercepter « en temps réel des codes d’authentification à deux facteurs » pour arriver à leurs fins.
L’organisation internationale de défense des droits numériques Access Now estime que le vol de sauvegardes iCloud est « une alternative potentiellement moins chère aux logiciels espions iOS sophistiqués et coûteux », comme le redoutable Pegasus de la société NSO. Ce type de tactiques est de plus en plus répandu. C’est pourquoi il faut vraiment apprendre à identifier les messages de phishing qui usurpent l’identité d’Apple.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : Lookout
