Une campagne hybride d’espionnage/influence menée par le groupe de menaces russe « UNC5812 » a été découverte, ciblant les recrues militaires ukrainiennes avec des logiciels malveillants Windows et Android.
Selon les renseignements sur les menaces de Google, la campagne a usurpé l’identité d’un personnage de « Défense civile » avec un site Web et un canal Telegram dédié pour distribuer des logiciels malveillants via une fausse application d’évitement du recrutement surnommée « Sunspinner » par les chercheurs.
La campagne cible les appareils Windows et Android en utilisant des logiciels malveillants distincts pour chaque plate-forme, offrant aux attaquants des capacités de vol de données et d’espionnage en temps réel.
Google a mis en place des protections pour bloquer l’activité malveillante, mais l’opération met en évidence l’utilisation continue de la Russie et ses vastes capacités dans le domaine de la cyberguerre.
Faux personnage de « Défense civile »
Le personnage de UNC5812 ne tente pas de se faire passer pour la défense civile ukrainienne ou pour des agences gouvernementales, mais est plutôt présenté comme une organisation légitime favorable à l’Ukraine qui fournit aux conscrits ukrainiens des outils logiciels et des conseils utiles.
Le personnage utilise un canal Telegram et un site Web pour engager les victimes potentielles et livrer des récits contre les efforts de recrutement et de mobilisation de l’Ukraine, visant à susciter la méfiance et la résistance parmi la population.
Lorsque Google a découvert la campagne le 18 septembre 2024, la chaîne » Défense civile » sur Telegram comptait 80 000 membres.
Les utilisateurs incités à visiter le site Web de la Défense civile sont dirigés vers une page de téléchargement d’une application malveillante présentée comme un outil de cartographie participatif qui peut aider les utilisateurs à suivre l’emplacement des recruteurs et à les éviter.
Google appelle cette application « Sunspinner », et bien que l’application comporte une carte avec des marqueurs, Google dit que les données sont fabriquées. Le seul but de l’application est de masquer l’installation de logiciels malveillants qui se déroule en arrière-plan.
Suppression des logiciels malveillants Windows et Android.
Les fausses applications proposent des téléchargements Windows et Android, et promettent d’ajouter iOS et macOS bientôt, de sorte que les plates-formes Apple ne sont pas encore prises en charge.
Le téléchargement Windows installe Pronsis Loader, un chargeur de logiciels malveillants qui récupère des charges utiles malveillantes supplémentaires à partir du serveur de UNC5812, y compris le PureStealer du voleur d’informations sur les produits de base.’
PureStealer cible les informations stockées dans les navigateurs Web, telles que les mots de passe de compte, les cookies, les détails du portefeuille de crypto-monnaie, les clients de messagerie et les données des applications de messagerie.
Sur Android, le fichier APK téléchargé supprime CraxsRAT, également une porte dérobée disponible dans le commerce.
CraxsRAT permet aux attaquants de suivre l’emplacement de la victime en temps réel, d’enregistrer ses frappes au clavier, d’activer des enregistrements audio, de récupérer des listes de contacts, d’accéder à des messages SMS, d’exfiltrer des fichiers et de récolter des informations d’identification.
Pour effectuer ces activités malveillantes sans se décourager, l’application incite les utilisateurs à désactiver Google Play Protect, l’outil anti-malware intégré d’Android, et à lui accorder manuellement des autorisations risquées.
Google a mis à jour les protections Google Play pour détecter et bloquer rapidement les logiciels malveillants Android et a également ajouté les domaines et les fichiers associés à la campagne à sa fonctionnalité de « Navigation sécurisée » sur Chrome.