Selon The Register, s’appuyant sur les analyses d’Acronis Threat Research Unit (TRU), une campagne de smishing en Israël distribue depuis le 1er mars une application d’alerte aux roquettes « Red Alert » trojanisée, déguisée en mise à jour urgente de « Oref Alert ». Les autorités (Israeli National Cyber Directorate) et les grands médias israéliens ont émis des avertissements.

• Vecteur d’infection 🚨: des SMS usurpant « Oref Alert » avec ID d’expéditeur spoofé et lien bit.ly redirigeant vers un spyware Android au lieu d’une mise à jour légitime de Red Alert.

• Attribution présumée 🎯: campagne probablement liée à Arid Viper (aka APT-C-23/Desert Falcons/Two-tailed Scorpion), groupe aligné sur Hamas actif depuis au moins 2013 et ciblant des systèmes Android, iOS et Windows. La campagne est décrite comme largement indiscriminée.

• Techniques d’évasion et installation 📱: le binaire utilise des certificats usurpés et falsifie la source d’installation pour faire croire à une provenance Google Play, bypassant des contrôles de sécurité Android et apparaissant comme légitimement signé.

• Capacités et impact des malwares 🔎: l’appli demande 20 permissions, dont 6 critiques permettant l’accès en temps réel à la géolocalisation précise, aux SMS, au carnet de contacts et aux comptes stockés sur l’appareil. Elle peut créer des overlays de phishing au-dessus d’autres apps pour intercepter OTP, identifiants et numéros de compte, assure la persistance au redémarrage, met en scène les données localement puis les exfiltre en continu vers un serveur C2.

• Contexte opérationnel 🛰️: les chercheurs notent une hausse des opérations cyber lors des escalades militaires, où des thèmes d’urgence (alertes, missiles, mises à jour de sécurité) servent d’appâts de social engineering pour la surveillance et le renseignement.

IOCs connus (tels que décrits):

  • Liens raccourcis bit.ly dans les SMS (non détaillés)
  • Identifiants d’expéditeur SMS usurpés se faisant passer pour « Oref Alert »
  • Application trojanisée du « Red Alert rocket app »
  • Certificats usurpés et source d’installation falsifiée (« Google Play » apparent)
  • Serveur C2 distant (détails non fournis)

TTPs observés:

  • Smishing (SMS d’hameçonnage) pour la distribution
  • Application Android trojanisée et installation via lien
  • Usurpation de certificats et de la source d’installation pour contourner des contrôles Android
  • Exfiltration continue de données vers un C2
  • Overlays de phishing pour intercepter OTP/identifiants
  • Persistance au redémarrage
  • Collecte de GPS, SMS, contacts, comptes

Type: article de presse spécialisé — objectif: relayer des recherches de menace et informer sur une campagne de spyware active ciblant des utilisateurs en Israël.

🔗 Source originale : https://www.theregister.com/2026/03/06/spyware_disguised_as_emergency_alert/