John Lamparski | Getty Images
Google a pris étapes de plus en plus sophistiquées garder applications malveillantes hors de Google Play. Mais une nouvelle série de suppressions impliquant environ 200 applications et plus de 10 millions de victimes potentielles montre que ce problème de longue date est loin d’être résolu et, dans ce cas, pourrait coûter aux utilisateurs des centaines de millions de dollars.
Les chercheurs de la société de sécurité mobile Zimperium affirment que le campagne d’arnaque massive afflige Android depuis novembre 2020. Comme c’est souvent le cas, les attaquants ont pu introduire des applications d’apparence bénigne comme « Handy Translator Pro », « Heart Rate and Pulse Tracker » et « Bus – Metrolis 2021″ dans Google Play comme fronts pour quelque chose de plus sinistre. Après avoir téléchargé l’une des applications malveillantes, une victime recevait un flot de notifications, cinq par heure, l’incitant à « confirmer » son numéro de téléphone pour réclamer un prix. La page de réclamation « prix » chargée via un navigateur intégré à l’application, une technique courante pour empêcher les indicateurs malveillants d’entrer dans le code de l’application elle-même. Une fois qu’un utilisateur a entré ses chiffres, les attaquants les ont inscrits pour des frais mensuels récurrents d’environ 42 $ via la fonction de services SMS premium des factures sans fil. C’est un mécanisme qui vous permet normalement de payer pour des services numériques ou, disons, d’envoyer de l’argent à un organisme de bienfaisance par SMS. Dans ce cas, il est allé directement aux escrocs.
Les techniques sont courantes dans les applications malveillantes du Play Store, et fraude par SMS premium en particulier est un problème notoire. Mais les chercheurs disent qu’il est important que les attaquants aient pu enchaîner ces approches connues d’une manière qui était toujours extrêmement efficace – et en nombre ahurissant – même si Google a continuellement amélioré sa sécurité Android et les défenses du Play Store.
« C’est une livraison impressionnante en termes d’échelle », déclare Richard Melick, directeur de la stratégie produit de Zimperium pour la sécurité des terminaux. «Ils ont poussé le gant complet des techniques dans toutes les catégories; ces méthodes sont raffinées et éprouvées. Et c’est vraiment un effet de bombardement de tapis quand il s’agit de la quantité d’applications. L’un peut réussir, l’autre pas, et c’est très bien.
L’opération a ciblé les utilisateurs d’Android dans plus de 70 pays et a spécifiquement vérifié leurs adresses IP pour avoir une idée de leurs régions géographiques. L’application afficherait les pages Web dans la langue principale de cet emplacement pour rendre l’expérience plus attrayante. Les opérateurs de logiciels malveillants ont pris soin de ne pas réutiliser les URL, ce qui peut permettre aux chercheurs en sécurité de les suivre plus facilement. Et le contenu généré par les attaquants était de haute qualité, sans les fautes de frappe et les erreurs grammaticales qui peuvent révéler des escroqueries plus évidentes.
Zimperium est membre de Google Alliance de défense des applications, une coalition de sociétés tierces qui aident à garder un œil sur les logiciels malveillants du Play Store, et la société a divulgué la campagne dite GriftHorse dans le cadre de cette collaboration. Google dit que toutes les applications identifiées par Zimperium ont été supprimées du Play Store et que les développeurs d’applications correspondants ont été bannis.
Les chercheurs soulignent cependant que les applications, dont beaucoup ont été téléchargées par centaines de milliers, sont toujours disponibles via des magasins d’applications tiers. Ils notent également que bien que la fraude par SMS premium soit un vieux marron, elle est toujours efficace car les accusations malveillantes n’apparaissent généralement pas avant la prochaine facture de sans fil d’une victime. Si les attaquants peuvent installer leurs applications sur les appareils de l’entreprise, ils peuvent même potentiellement inciter les employés de grandes entreprises à souscrire à des frais qui pourraient passer inaperçus pendant des années sur un numéro de téléphone d’entreprise.
Bien que la suppression de tant d’applications ralentisse la campagne GriftHorse pour le moment, les chercheurs soulignent que de nouvelles variantes apparaissent toujours.
« Ces attaquants sont organisés et professionnels. Ils ont créé cela comme une entreprise et ils ne vont pas simplement passer à autre chose », a déclaré Shridhar Mittal, PDG de Zimperium. « Je suis certain que ce n’était pas une chose unique. »
Cette histoire est apparue à l’origine sur wired.com.
Source link
