MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
zLabs, la division de recherche de Zimperium, leader mondial de la sécurité mobile, annonce avoir identifié une vaste campagne de surveillance Android, baptisée Arsink RAT. Il s’agit d’un cheval de Troie d’accès à distance (RAT) natif cloud, conçu pour collecter des données sensibles et permettre aux cybercriminels d’obtenir le contrôle des appareils infectés, tout en se dissimulant dans le trafic cloud légitime.
L’analyse, intitulée « The Rise of Arsink RAT » (L’essor d’Arsink RAT), a identifié 1 216 échantillons uniques d’applications Android malveillantes, reliés à 317 serveurs de commande et de contrôle (C2) distincts. Elle révèle également la compromission d’environ 45 000 appareils dans 143 pays, faisant d’Arsink, l’une des plus vastes opérations de surveillance Android observées ces derniers mois.
Contrairement aux malwares Android traditionnels qui s’appuient sur des serveurs dédiés, Arsink RAT exploite des plateformes cloud de confiance (Firebase, Google Drive, Telegram, …) pour prendre la main sur les commandes et contrôles et exfiltrer ainsi les données volées. La campagne se propage principalement par ingénierie sociale, via des applications malveillantes partagées sur des canaux Telegram, des publications Discord et des liens d’hébergement de fichiers. Ces applications usurpent l’identité de plus de 50 marques bien connues, dont Google, YouTube, WhatsApp, Instagram, Facebook et TikTok.
Une fois installé, Arsink RAT instaure une surveillance continue ainsi qu’un contrôle à distance total des appareils infectés. Ses capacités incluent la collecte de SMS (notamment les mots de passe à usage unique), des journaux d’appels, des contacts, des identifiants d’appareils, des données de localisation, des enregistrements audios, des photos et d’autres contenus sensibles. Les cybercriminels peuvent également exécuter des commandes à distance : gérer des fichiers, afficher des messages, passer des appels téléphoniques et effacer le stockage externe.
« Pour les entreprises, Arsink est bien plus dangereux qu’un simple logiciel espion grand public, c’est une menace directe pour les données et les opérations de l’entreprise. Les appareils compromis peuvent divulguer silencieusement des codes d’authentification, des identifiants et des communications professionnelles, facilitant le piratage de comptes et la fraude. En se dissimulant au sein de services cloud de confiance, Arsink contourne les défenses traditionnelles, rendant indispensable une protection embarquée sur les appareils, fondée sur l’analyse comportementale. » déclare Kern Smith, Vice President of Global Solutions Engineering chez Zimperium.
Les solutions Mobile Threat Defense (MTD) et Mobile Runtime Protection (zDefend) de Zimperium détectent Arsink RAT grâce à une analyse comportementale depuis l’appareil, offrant une protection de type « zero-day » sans recourir à des signatures statiques ou à des indicateurs de compromission connus. Alors que les cybercriminels privilégient les attaques sur les appareils mobiles, des menaces comme Arsink soulignent l’importance de déployer une sécurité mobile autonome capable de détecter et de bloquer en temps réel les malwares en constante évolution.
