Un faux contrôle de sécurité Google transforme un PWA en RAT navigateur et livre un implant Android
Selon Malwarebytes, une campagne d’ingénierie sociale imite une page « Google Account Security » pour pousser les victimes à installer un PWA et, pour celles qui obéissent à tous les prompts, un APK Android déguisé en mise à jour critique; l’infrastructure C2 s’appuie sur le domaine google-prism[.]com, routé via Cloudflare.
Le flux web en 4 étapes demande l’« installation » du PWA (masquant la barre d’adresse), l’autorisation de notifications push, la sélection et l’envoi de contacts via le Contact Picker API, puis l’accès à la position GPS (latitude, longitude, altitude, cap, vitesse). Une fois installé, le script de page lit le presse-papiers lors des événements de focus/visibilité, tente d’intercepter les SMS via WebOTP, dresse une empreinte détaillée du device et effectue un heartbeat toutes les 30 s.
📢 Découverte de DCHSpy : un logiciel espion Android ciblant les utilisateurs iraniens
📝 Les chercheurs de **Lookout** ont mis en lumière une campagne sophistiquée de logiciel espion Android, nommée **DCHSpy**, a...
📖 cyberveille :
https://cyberveille.ch/posts/2025-08-02-decouverte-de-dchspy-un-logiciel-espion-android-ciblant-les-utilisateurs-iraniens/🌐 source :
https://blog.polyswarm.io/static-kitten-observed-using-dchspy-android-malware#Android_malware #DCHSpy #CyberveilleDécouverte de DCHSpy : un logiciel espion Android ciblant les utilisateurs iraniens
Les chercheurs de Lookout ont mis en lumière une campagne sophistiquée de logiciel espion Android, nommée DCHSpy, attribuée au groupe de menaces iranien Static Kitten. Cette campagne cible spécifiquement les utilisateurs mobiles iraniens en exploitant des applications VPN et Starlink trompeuses, distribuées via des campagnes de phishing.
DCHSpy est actif depuis octobre 2023, en plein conflit régional, et est conçu pour exfiltrer des données sensibles telles que les messages WhatsApp, les données de localisation, les photos et les journaux d’appels. Le malware exploite des tactiques d’ingénierie sociale et tire parti de la demande d’accès Internet non censuré en Iran.
📢 Le malware Android Konfety réapparaît avec des techniques d'évasion avancées
📝 L'article publié par PolySwarm met en lumière la réapparition du **malware Android Konfety**, connu pour ses **capacités d'évasion sophistiquées** telles qu...
📖 cyberveille :
https://cyberveille.ch/posts/2025-07-28-le-malware-android-konfety-reapparait-avec-des-techniques-d-evasion-avancees/🌐 source :
https://blog.polyswarm.io/konfety-android-malware#Android_malware #DEX_injection #CyberveilleLe malware Android Konfety réapparaît avec des techniques d'évasion avancées
L’article publié par PolySwarm met en lumière la réapparition du malware Android Konfety, connu pour ses capacités d’évasion sophistiquées telles que le chargement dynamique de code et l’obfuscation multi-couches. Ce malware est principalement utilisé pour des fraudes publicitaires tout en évitant la détection par les systèmes de sécurité.
Konfety utilise des techniques d’injection à l’exécution où le fichier DEX principal gère l’installation initiale avant de déléguer les opérations à un fichier DEX secondaire caché, déchiffré à partir d’actifs APK cryptés. Les incohérences dans le fichier AndroidManifest.xml servent d’indicateurs de détection, avec des composants non déclarés.
Nouvelles variantes du malware DCHSpy utilisées par MuddyWater
Lookout a découvert de nouvelles variantes du malware de surveillance Android DCHSpy déployé par le groupe APT iranien MuddyWater dans le cadre du conflit Israël-Iran. Ce malware cible les appareils mobiles à travers des applications VPN malveillantes distribuées via Telegram, utilisant potentiellement des leurres thématiques liés à StarLink.
DCHSpy collecte des données personnelles étendues, notamment des messages WhatsApp, des contacts, des SMS, des données de localisation, et peut enregistrer de l’audio et capturer des photos. Le groupe de menaces continue de développer ce logiciel de surveillance avec des capacités améliorées pour l’identification de fichiers et l’exfiltration de données, représentant des activités d’espionnage mobile parrainées par l’État iranien.
Mandrake Spyware Infects 32,000 Devices Via Google Play Apps - RedPacket Security
Security researchers have shed light on a new iteration of Mandrake, a sophisticated Android cyber-espionage malware tool. Initially analyzed by Bitdefender
TeaBot Banking Trojan Activity on the Rise, Zscaler Observes - RedPacket Security
Threat actors are increasingly using the sophisticated TeaBot Android malware to infect mobile phones, Zscaler has found.
FjordPhantom Android Malware Targets Banks With Virtualization - RedPacket Security
Security researchers have discovered a new Android malware, known as FjordPhantom, notable for its elusive nature and covert spreading tactics.
Malware-Infected Devices Sold Through Major Retailers - RedPacket Security
Human Security has exposed a significant monetization method employed by a sophisticated cyber-criminal operation. This operation involved the sale of
Chinese APT Group GREF Use BadBazaar in Android Espionage - RedPacket Security
ESET researchers have exposed a sophisticated espionage tool named BadBazaar, which targets Android users through malicious versions of popular communication
CyberVeille.ch
RedPacket Security