Google a retiré de son Play Store 17 applications malveillantes conçues pour infecter les utilisateurs d’Android avec des malwares bancaires.
Les chercheurs de Trend Micro ont décrit en détail la campagne, qu’ils ont baptisée DawDropper. Cette dernière diffuse quatre types de trojans bancaires : TeaBot, Octo, Hydra et Ermac. Il s’agit d’une attaque par dropper-as-a-service (DaaS), car la charge utile n’est déposée qu’après le téléchargement de l’application.
Vol de données
Ces quatre malwares ont été conçus pour voler des informations bancaires ainsi que des noms d’utilisateur et des mots de passe.
TeaBot, particulièrement puissant, utilise l’enregistrement des touches et le vol des codes d’authentification pour s’emparer des informations bancaires et d’autres données personnelles sensibles.
Octo, de son côté, a la capacité d’obtenir les autorisations primaires de l’appareil, le gardant éveillé pour permettre le téléchargement des données volées. Il utilise l’enregistrement d’écran pour voler les informations saisies par l’utilisateur, notamment les adresses e-mail, les mots de passe et les codes d’accès. Le malware peut également éteindre l’écran et le rétroéclairage et désactiver le son pour masquer son comportement malveillant.
Contournement des protections
La campagne DawDropper remonte à la fin de l’année 2021, et diverses applications ont été utilisées pour dissimuler les malwares aux victimes. La liste complète – établie par Trend Micro – comprend des enregistreurs d’appels, des VPN, des applications de nettoyage, des éditeurs de photos, des scanners de documents, des jeux, etc. Le nombre de téléchargements des applications malveillantes n’a pas été précisé.
Pour échapper aux protections du Play Store, DawDropper a utilisé des services cloud tiers, afin d’obtenir la charge utile à partir d’un serveur de commande et de contrôle exploité par ses attaquants. En clair, cela signifie que le code était propre, ce qui explique pourquoi les applications ont été autorisées dans le Play Store.
Ce n’est qu’après son téléchargement que l’application malveillante établissait une connexion pour déposer la charge utile du malware sur l’appareil.
La chasse aux applications malveillantes
Trend Micro précise que chacune des 17 applications malveillantes a maintenant été supprimée du Play Store. « Les cybercriminels trouvent constamment des moyens d’échapper à la détection et d’infecter autant d’appareils que possible », met en garde la société. « Comme de plus en plus de chevaux de Troie bancaires sont mis à disposition via DaaS, les cybercriminels ont un moyen plus facile et plus rentable de distribuer des programmes malveillants déguisés en applications légitimes. Nous prévoyons que cette tendance va se poursuivre et que davantage de chevaux de Troie bancaires seront distribués sur des services de distribution numérique à l’avenir. »
C’est loin d’être la première fois que des applications malveillantes sont retirées du Play Store et il est peu probable que ce soit la dernière – mais les utilisateurs peuvent prendre des mesures pour éviter d’être victimes de logiciels malveillants dissimulés dans les magasins d’applications officiels.
Il s’agit notamment de ne télécharger que les applications de développeurs et d’éditeurs connus, et d’éviter les applications publiées par des développeurs qui n’ont qu’une seule application, ne fournissent pas beaucoup de détails sur eux-mêmes et sont relativement récents. Les utilisateurs devraient également consulter les avis sur les applications pour voir si d’autres utilisateurs ont eu des expériences négatives depuis qu’ils ont téléchargé l’application – cela pourrait être une indication forte que l’application est à éviter.
Source : ZDNet.com
