Actualités

Goontact : le malware ciblant les utilisateurs iOS et Android friands de contenus illicites ou adultes ! (eXplicitement…)

Chantage ou sextorsion : le malware Goontact exploitent les mœurs et pulsions terriennes dans le but d’extorquer des informations et / ou de l’argent à ses victimes. Ciblant, à prime abord, la Chine, la Corée ou encore le Japon pour l’heure, Goontact fonctionne en tant que logiciel espion sous iOS ou Android.

 

Ces escroqueries par sextorsion exploitent des personnes parlant chinois, japonais et coréen dans plusieurs pays asiatiques. Les données sur les sites de distribution suggèrent également que cette opération est fonctionnelle en Chine, au Japon, en Corée, en Thaïlande et au Vietnam […] Le logiciel espion, que nous avons nommé Goontact, cible les utilisateurs de sites illicites, offrant généralement des services d’escorte, et vole des informations personnelles sur leur appareil mobile. Les types de sites utilisés pour distribuer ces applications malveillantes et les informations exfiltrées suggèrent que le but ultime est l’extorsion ou le chantage”, indique l’équipe sécuritaire LockOut, dans un communiqué officiel, le 16 Décembre 2020.

 

Applications ou fichiers compromis sous iOS par Goontact

 

Bien évidemment, l’appât est amorcé avec un appel ou une rencontre vidéo avec un homme ou une femme qui est proposée à la victime, depuis Telegram ou encore KakaoTalk, est-il détaillé dans le billet sécuritaire. Les cyber-attaquants exploitent l’IPA sous iOS : ces fichiers ou composants intègrent notamment des certificats. Un précieux sésame rarement obtenus par le commun des mortels (ne serait-ce qu’en terme de prix) ce qui révèle, à la vue de la qualité de ces certificats (légitimes !) que des entreprises (basées en Chine et aux États-Unis, selon les conclusions de LockOut) pourraient être associé à ce malware. Une fois l’IPA (modifié) déployé, celui-ci peut, en toute impunité, faire fonctionner l’application malveillante qui est identifiée dans le système mobile iOS en tant qu’application bienveillante : “le programme Apple Developer Enterprise est destiné à permettre aux organisations de distribuer des applications internes propriétaires à leurs employés sans avoir besoin d’utiliser l’App Store iOS […] Il oblige l’utilisateur à télécharger l’application via un navigateur, à l’installer, à accéder à son application Paramètres, puis à faire explicitement confiance à l’identité de signature utilisée pour signer le fichier IPA. Ce n’est qu’après un processus de vérification de l’identité de signature avec les serveurs d’Apple que l’application peut s’exécuter sur un appareil iOS“.

 

Applications compromises sous Android par Goontact

 

L’ensemble des données (SMS, MMS, contacts, localisation) est ex-filtré par un serveur command-and-control depuis les ports 8085 et 9905. L’exploit ferait écho à une campagne similaire dévoilée par TrendMicro, en 2015. Du côté de LockOut, le spyware serait actif depuis, au moins, 2013 et impliquerait des états ou encore des réseaux criminels initiés dans ces pratiques technologiques… A veiller !

 

 

Source : Blog LockOut – 16 Décembre 2020 – Goontact : spyware exploitant la sextorsion depuis de faux fichiers IPAs ou de fausses applications (iOS, Android).




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.11.0