Les utilisateurs israéliens d’Android sont ciblés par une version malveillante de l’application « RedAlert – Rocket Alerts » qui, bien qu’elle offre les fonctionnalités promises, agit comme un logiciel espion en arrière-plan.
RedAlert – Rocket Alerts est une application open source légitime utilisée par les citoyens israéliens pour recevoir des notifications de roquettes visant le pays. L’application est très populaire, avec plus d’un million de téléchargements sur Google Play.
Depuis que Hamas ont lancé leur attaque dans le sud la semaine dernière, impliquant des milliers de roquettes, l’intérêt pour l’application a explosé alors que les gens cherchaient à être avertis en temps opportun des frappes aériennes imminentes dans leur région.
Selon Cloudflare, des pirates informatiques dont la motivation et l’origine sont inconnues profitent de l’intérêt accru pour l’application et de la peur des attaques pour distribuer une fausse version qui installe des logiciels espions.
Cette version malveillante est distribuée à partir du site « redalerts[.]me », créé le 12 octobre 2023, et comprend deux boutons permettant de télécharger l’application pour les plateformes iOS et Android.
Le téléchargement iOS redirige un utilisateur vers la page du projet légitime sur l’App Store d’Apple, mais le bouton Android télécharge directement un fichier APK à installer sur l’appareil.
Alerte aux logiciels espions
L’APK téléchargé utilise le code légitime de la véritable application RedAlert, il contient donc toutes les fonctionnalités habituelles et apparaît comme un outil légitime d’alerte de fusée.
Cependant, Cloudflare a constaté que l’application demande des autorisations supplémentaires aux victimes, notamment l’accès aux contacts de l’utilisateur, aux numéros, au contenu SMS, à la liste des logiciels installés, aux journaux d’appels, à l’IMEI du téléphone, aux comptes de messagerie et d’application connectés, etc.
Au lancement, l’application lance un service en arrière-plan qui abuse de ces autorisations pour collecter des données, les chiffrer avec AES en mode CBC et les télécharger sur une adresse IP codée en dur.
L’application propose également des mécanismes anti-débogage, anti-émulation et anti-test qui la protègent des chercheurs et des outils de révision de code.