Méfiez-vous si vous avez téléchargé l’une de ces 5 applications : elles contiennent un dangereux logiciel malveillant capable de voler vos données bancaires

Le tiroir d’applications d’un smartphone Android / Image de AndroAall

Les experts en cybersécurité de Threat Fabric ont découvert une nouvelle campagne de logiciels malveillants ciblant les utilisateurs d’appareils Android résidant dans plusieurs pays, dont la France, l’Allemagne ou le Royaume-Unis. À travers des applications infectées distribuées via Google Play Store, ils auraient tenté d’infecter des appareils avec le logiciel malveillant connu sous le nom « Anatsa », un cheval de Troie bancaire capable de voler des informations d’accès aux applications bancaires pour effectuer des fraudes financières.

Cinq applications différentes ont été découvertes avec le logiciel malveillant à l’intérieur, publiées sur la boutique d’applications de Google, totalisant un nombre de téléchargements supérieur à 150 000.

Une des applications infectées est encore disponible sur Google Play

Ce n’est pas la première fois que ce logiciel malveillant fait son apparition sur Google Play. Depuis novembre de l’année dernière, plusieurs campagnes avec Anatsa comme protagoniste ont été révélées, et les experts indiquent que le nombre d’infections pourrait atteindre environ 150 000.

Cette fois-ci, les attaquants ont ciblé les utilisateurs résidant dans différentes régions d’Europe, dont la France. Pour ce faire, ils ont concentré leurs efforts pour amener les applications infectées en haut des listes de succès régionales de Google Play Store, telles que « les meilleures applications gratuites » ou « les applications populaires ».

Il n’est donc pas surprenant que les applications choisies aient été des outils d’utilisation courante, principalement des lecteurs de documents PDF ou des applications de nettoyage du stockage du téléphone. La liste complète des applications contenant du code malveillant est disponible ci-dessous :

Phone Cleaner – File Explorer (com.volabs.androidcleaner) PDF Viewer – File Explorer(com.xolab.fileexplorer) PDF Reader – Viewer & Editor (com.jumbodub.fileexplorerpdfviewer) Phone Cleaner: File Explorer (com.appiclouds.phonecleaner) PDF Reader: File Manager (com.tragisoap.fileandpdfmanager)

Au total, les applications ont accumulé entre 150 000 et 200 000 téléchargements via Google Play avant l’avertissement de Threat Fabric. Google a procédé à la suppression des applications infectées. À l’exception de PDF Reader, qui est toujours disponible dans le catalogue de la boutique d’applications Android.

Les chercheurs ont également profité de l’occasion pour rappeler le mécanisme d’attaque d’Anatsa. Une fois qu’une des applications est installée sur l’appareil de la victime, elle tente d’obtenir des autorisations d’accessibilité avancées en trompant l’utilisateur avec une notification qui l’alerte sur la nécessité d’activer une option de « mise en veille des applications consommatrices de batterie ».

De plus, dans cette campagne, différents mécanismes d’évasion ont été mis en place pour contourner les systèmes de détection, en utilisant une approche en plusieurs phases consistant à télécharger progressivement des fichiers de configuration et des exécutables malveillants une fois que l’infection avait commencé.

Avec l’appareil complètement infecté, le logiciel malveillant pouvait prendre le contrôle complet et mener à bien la dernière phase de l’attaque, consistant à obtenir l’accès aux comptes bancaires des victimes via les applications des entités bancaires.

Les experts en cybersécurité affirment que partie de la responsabilité de ce type d’attaque incombe aux institutions financières, qui doivent former leurs clients sur les risques liés à l’installation d’applications et à l’octroi de privilèges avancés. Cependant, ce sont les utilisateurs qui doivent toujours examiner quel type d’applications ils installent sur leurs appareils, et surtout, quels sont les autorisations demandées et quel type de données elles peuvent accéder.