Telegram, ce vecteur de malware russes ciblant les ukrainiens

L’arsenal malveillant déployé par UNC5812 révèle une architecture sophistiquée, adaptée au système d’exploitation de chaque victime. Sur Windows, l’infection s’opère via une archive ZIP contenant un nouveau chargeur de logiciels malveillants en PHP (un langage relativement facile à apprendre), baptisé Pronsis. Ce dernier injecte simultanément SUNSPINNER, une fausse application de cartographie, et PureStealer, un logiciel d’extraction de données vendu sur le marché noir (150 dollars pour un abonnement mensuel et 699 dollars pour une licence à vie).

Les utilisateurs Android sont, quant à eux, ciblés par une application malicieuse (identifiée sous le nom de package « com.http.masters ») dissimulant CraxsRAT. Un acronyme pour CRacking Android RAT (Rat signifiant « Rat » en anglais, un terme couramment utilisé pour désigner les « Remote Access Trojans »). C’est un type de malware particulièrement dangereux conçu spécifiquement pour les appareils Android. Ce Cheval de Troie permet ensuite une prise de contrôle totale de l’appareil touché : enregistrement des frappes au clavier et des gestes tactiles, capture des communications, des écrans et même des appels.

Le site web accompagne même ses utilisateurs Android avec des instructions vidéo détaillées pour désactiver Google Play Protect et accorder toutes les autorisations requises, permettant ainsi au malware de fonctionner sans entrave. Dans sa FAQ, le site tente même de justifier l’hébergement de l’application en dehors du Play Store, prétextant vouloir « protéger l’anonymat et la sécurité » de ses utilisateurs. Plutôt ironique…

Fait notable, le site prétend également proposer des versions pour macOS et iPhone, bien qu’aucun logiciel malveillant ne soit encore disponible pour ces plateformes. Cette campagne, sans grande surprise, s’inscrit dans la continuité des tactiques russes observées depuis le début du conflit, où les frontières entre guerre psychologique et cyberattaques s’estompent progressivement. Cette approche, dite de « guerre hybride », permet au pays de démultiplier les effets de ses actions tout en minimisant les risques d’une confrontation directe.