Plus de 300 000 utilisateurs de smartphones Android ont téléchargé des chevaux de Troie bancaires après avoir été victimes d’un malware qui n’a pas été détecté par la boutique d’applications Google Play.
Décrites par les chercheurs en cybersécurité de ThreatFabric, les quatre différentes formes de malware ont été transmises aux victimes via des versions malveillantes d’applications couramment téléchargées, notamment des scanners de documents, des lecteurs de QR codes, des applications de fitness et de cryptomonnaie. Les applications sont le plus souvent dotées des fonctionnalités qu’elles annoncent, afin d’éviter que les utilisateurs doutent.
Dans chaque cas, le code malveillant de l’application est caché et le processus de diffusion du malware ne commence qu’une fois l’application installée, ce qui leur permet de contourner les détections du Play Store.
Anatsa
La plus prolifique des quatre familles de logiciels malveillants est Anatsa, qui a été installée par plus de 200 000 utilisateurs d’Android. Les chercheurs la décrivent comme un cheval de Troie bancaire « avancé », capable de voler des noms d’utilisateur et des mots de passe, et qui utilise les fonctionnalités d’accessibilité pour capturer tout ce qui s’affiche sur l’écran de l’utilisateur, tandis qu’un enregistreur de frappe permet aux attaquants de voler toutes les informations saisies sur le téléphone.
Le logiciel malveillant Anatsa est actif depuis janvier, mais semble avoir reçu une nouvelle impulsion depuis juin. Les chercheurs ont pu identifier six applications différentes conçues pour diffuser le logiciel malveillant.
L’une de ces applications est un scanner de QR codes, qui a été installé par 50 000 utilisateurs et dont la page de téléchargement comporte un grand nombre de critiques positives, ce qui peut encourager les gens à télécharger l’application. Les utilisateurs sont dirigés vers les applications via des e-mails de phishing ou des campagnes publicitaires malveillantes.
Après le téléchargement initial, les utilisateurs sont obligés de mettre à jour l’application pour continuer à l’utiliser. C’est cette mise à jour qui se connecte à un serveur de commande et de contrôle malveillant et télécharge la charge utile Anatsa sur l’appareil, donnant aux attaquants les moyens de voler des données bancaires et d’autres informations.
Alien
La deuxième famille de logiciels malveillants la plus prolifique décrite par les chercheurs de ThreatFabric est Alien, un cheval de Troie bancaire Android qui peut également voler les codes d’authentification à deux facteurs et qui est actif depuis plus d’un an. Le malware a été installé 95 000 fois via des applications malveillantes sur le Play Store.
L’une d’entre elles est une application de fitness qui s’accompagne d’un site web destiné à renforcer sa légitimité, mais un examen approfondi du site révèle la présence de texte de remplacement. Le site web sert également de centre de commande et de contrôle pour le malware Alien.
Comme pour Anatsa, le téléchargement initial ne contient pas de malware, mais les utilisateurs sont invités à installer une fausse mise à jour – déguisée en paquet de nouveaux programmes de fitness – qui distribue la charge utile.
Une plateforme de choix pour diffuser des malwares
Les deux autres formes de logiciels malveillants utilisant des méthodes similaires au cours des derniers mois sont Hydra et Ermac, qui totalisent au moins 15 000 téléchargements. ThreatFabric a établi un lien entre Hydra et Ermac et Brunhilda, un groupe de cybercriminels connu pour cibler les appareils Android avec des malwares bancaires. Hydra et Ermac permettent tous deux aux attaquants d’accéder à l’appareil nécessaire pour voler des informations bancaires.
ThreatFabric a signalé toutes ces applications malveillantes à Google et elles ont déjà été supprimées ou sont en cours d’examen. Les cybercriminels tenteront probablement de trouver des moyens de contourner les protections pour diffuser des logiciels malveillants mobiles, qui deviennent de plus en plus attrayants pour les cybercriminels.
« L’intérêt pour les logiciels malveillants bancaires Android évolue rapidement. Les chiffres que nous observons actuellement sont le résultat d’un lent, mais inévitable changement d’orientation des criminels vers le paysage mobile. Dans cette optique, le Google Play Store est la plateforme la plus attrayante à utiliser pour diffuser des logiciels malveillants », explique à ZDNet Dario Durando, spécialiste des logiciels malveillants mobiles chez ThreatFabric.
Quelques mesures préventives
L’apparence convaincante des applications malveillantes signifie qu’il peut être difficile de les identifier comme une menace potentielle, mais il existe des mesures que les utilisateurs peuvent prendre pour éviter l’infection.
« Une bonne règle de base est de toujours vérifier les mises à jour et d’être toujours très prudent avant d’accorder des privilèges aux services d’accessibilité – qui seront demandés par le logiciel malveillant après l’installation de la « mise à jour » – et de se méfier des applications qui demandent d’installer des logiciels supplémentaires », recommande Dario Durando.
ZDNet a tenté de contacter Google pour obtenir des commentaires, mais n’avait pas reçu de réponse au moment de la publication de cet article.
Source : ZDNet.com
