Ce groupe de pirates est capable de voler vos sauvegardes WhatsApp, voici comment

ESET a dévoilé dans un communiqué de presse les agissements d'un groupe de pirates qui s'en prend à vos sauvegardes WhatsApp à travers d'autres applications de messagerie.

Les chercheurs d’ESET ont mis au jour les agissements d’un groupe de hackers baptisé SpaceCobra qui a mis en circulation des applications de messagerie dont l’objectif est de voler les données contenues dans les sauvegardes WhatsApp de leurs victimes. Ces versions « retravaillées » d’une application de messagerie open source contiennent en fait une variante de GravityRAT, un outil d’accès à distance de type Remote Access Trojan. Elles sont distribuées sur la toile et les pirates les font passer pour des applications Android légitimes.

À lire — Netflix, TikTok, YouTube : ces pirates ont caché un malware dans 60 000 fausses apps sur Android

Selon ESET, les deux applications Android renfermant GravityRAT s’appellent BingeChat et Chatico. Ce malware s’est fait connaitre en 2018, année où il a été utilisé pour cibler l’armée indienne. L’une des caractéristiques de ce malware est qu’il peut rester dormant pendant longtemps avant de voler les données ou de prendre des captures d’écran. En plus d’exfiltrer les journaux d’appels, la liste de contacts, les messages SMS, et l’emplacement de l’appareil, le logiciel espion sert aussi à voler les sauvegardes WhatsApp et peut également recevoir des commandes pour supprimer des fichiers.

Les pirates de SpaceCobra cherchent à voler les données de sauvegardes de WhatsApp des victimes

Selon la compagnie de sécurité, SpaceCobra vise quelques utilisateurs en particulier, voire un seul. À en croire ESET, « l’application BingeChat est distribuée via un site Web qui nécessite une inscription, probablement ouverte uniquement lorsque les attaquants s’attendent à ce que des victimes spécifiques visitent, éventuellement avec une adresse IP particulière, une géolocalisation, une URL personnalisée ou dans un délai spécifique. Dans tous les cas, la campagne est très ciblée ».

On ne connait pas exactement l’identité des membres de SpaceCobra, mais tout porte à croire qu’ils sont de nationalité pakistanaise. Bien évidemment, cette application malveillante n’est pas disponible dans le Google Play Store, ce qui tombe bien, car les experts recommandent de ne pas télécharger d’applications ou de logiciels en provenance de sources non vérifiées.