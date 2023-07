CherryBlos est un nouveau type de logiciel malveillant qui utilise des techniques avancées pour voler les informations d’identification des utilisateurs

Un smartphone Android infecté par un logiciel malveillant / Image générée par l’IA de Bing Image Creator

Un nouveau type de logiciel malveillant menace les utilisateurs d’Android. Cette fois-ci, il a été découvert en dehors de Google Play et utilise une technique très particulière pour voler les données sensibles des utilisateurs infectés. Il a été baptisé par les chercheurs qui l’ont découvert « CherryBlos », et on pense que les développeurs auraient tenté de distribuer d’autres applications infectées via la boutique officielle d’Android.

Dans leur analyse, les chercheurs de TrendMicro mettent en évidence la capacité du logiciel malveillant à utiliser des techniques de reconnaissance optique des caractères (OCR) pour obtenir les informations d’identification de l’utilisateur en les saisissant à l’écran de l’appareil.

Au moins quatre applications contenant le logiciel malveillant ont été découvertes

CherryBlos a été découvert par les chercheurs de TrendMicro lors de l’analyse d’une série d’applications distribuées via des canaux externes à Google Play Store. Les applications étaient téléchargeables via des sites promouvant des escroqueries pour gagner de l’argent.

Fait intéressant, l’une des applications infectées avait également été découverte sur Google Play Store, provenant du même développeur que l’application infectée. Cependant, la version de la boutique ne contenait pas le code malveillant, bien que d’autres applications suspectes aient été découvertes dans le catalogue de Google Play Store.

Ce qui a le plus attiré l’attention des chercheurs, c’est le fonctionnement du logiciel malveillant. Ses créateurs ont utilisé une version payante d’un logiciel capable de crypter le code pour empêcher toute détection de la fonctionnalité malveillante.

Néanmoins, il a été découvert que les applications infectées par CherryBlos utilisaient des techniques visant à garantir que l’application reste active en permanence.

Ainsi, lorsque l’utilisateur exécutait une application d’un service d’achat et de vente de cryptomonnaies, comme Binance, le logiciel malveillant superposait à l’écran une fenêtre simulant l’application légitime. Cependant, lorsque les utilisateurs effectuaient des retraits de fonds vers leurs portefeuilles, CherryBlos remplaçait l’adresse par celle d’un portefeuille contrôlé par l’attaquant.

Pour fonctionner, le logiciel malveillant exploitait les autorisations d’accessibilité d’Android, qui permettent aux applications de superposer des fenêtres à l’écran sans que l’utilisateur s’en rende compte. De même, des techniques étaient utilisées pour empêcher l’utilisateur de désinstaller l’application.

Au total, quatre applications contenant le logiciel malveillant CherryBlos ont été découvertes. Il s’agit des suivantes :

GPTalk

Happy Miner

Robot 999

SynthNet

Toutes ont été découvertes en dehors de Google Play. Cependant, d’autres applications suspectes ont également été trouvées dans le catalogue de la boutique d’applications Android, bien que Google assure les avoir supprimées après avoir été informé par TrendMicro.

Comme toujours, les experts recommandent d’éviter de recourir à des sources externes à Google Play lors du téléchargement d’applications, et de bien vérifier les autorisations accordées à chacune d’entre elles.

