Les chercheurs d’une entreprise de sécurité cloud affirment que des applications avec des logiciels malveillants ont été téléchargées plus de 5,5 millions de fois. Il est donc important d’être vigilant !
Votre Android est-il infecté ?
Des dizaines d’applications infestées de logiciels malveillants ont transformé le Google Play Store en champ de mines, selon des experts en sécurité.
Avec un total de plus de 5,5 millions de téléchargements, les applications – qui semblent être à première vue des morceaux de logiciels parfaitement banals – ont permis aux agents de menaces d’accéder aux informations bancaires des utilisateurs d’Android et à d’autres données sensibles.
Les chercheurs de la société de sécurité cloud Zscaler affirment que les applications cachent de plus en plus l’Anatsa, un cheval de Troie également connu sous le nom de TeaBot.
Déguisé en applications de productivité – y compris des gestionnaires de fichiers, des traducteurs et des lecteurs de codes QR – le cheval de Troie s’introduit dans les appareils mobiles des utilisateurs inattentifs, puis télécharge du code malveillant ou des charges utiles depuis un serveur de commande et de contrôle (C2), ce qui semble pour l’utilisateur être une innocente mise à jour logicielle.
Ces payloads vérifient l’environnement de l’appareil et extraient un kit de package Anatsa Android (APK) d’un serveur distant. Une fois que l’APK est chargé, les ports s’ouvrent et Anatsa demande des autorisations pour diverses fonctionnalités de l’appareil.
Logiciels malveillants : l’objectif sont les applications bancaires sur votre smartphone
Ces autorisations sont utilisées pour comparer l’appareil de la victime avec une liste de cibles potentielles liées aux banques. S’il y a une correspondance, Anatsa fournira une fausse page de connexion lors du prochain lancement de cette cible.
Si la Banque Chase figure sur la liste des cibles et que la victime a l’application bancaire Chase installée sur son téléphone, elle verra une fausse page de connexion la prochaine fois qu’elle ouvrira cette application. Cette page vole les informations d’identification de la victime et les transmet aux agents de menace Anatsa.
Exemple cité par les chercheurs.
Étant donné que les payloads de Anatsa ne sont pas cachés dans les applications elles-mêmes, elles peuvent être promues et distribuées via le Google Play Store, facilitant ainsi plus de téléchargements que sur un site Web ou une boutique d’applications tierces.
Ce plus grand nombre de téléchargements perpétue un cycle de rétroaction positif : Comme les utilisateurs associent souvent la popularité à la fiabilité du logiciel, ils sont plus susceptibles de télécharger une application avec des dizaines de milliers de téléchargements. En effet, les chercheurs de Zscaler ont découvert que chaque application cachant Anatsa avait environ 70 000 installations.
Alors que Anatsa est le malware à la croissance la plus rapide ciblant les utilisateurs d’Android, il représente seulement 2,1 % des attaques sur le Google Play Store.
Joker et Facestealer, qui sont utilisés pour accéder aux comptes de médias sociaux des victimes, aux messages SMs, etc., représentent plus de la moitié des attaques effectuées via le Google Play Store.
Ces vulnérabilités sont le plus souvent transmises via des applications « d’outils », telles que des lecteurs de codes QR et de PDF, ainsi que des applications de photographie et de personnalisation.
L’entreprise a détecté, a informé Google, mais n’a pas partagé la liste des applications qui, éventuellement, ne seront plus disponibles sur la boutique de l’entreprise basée à Mountain View.