Plus de 77 applications malveillantes, qui ont accumulé 19 millions de téléchargements, ont infiltré Google Play. Leur suppression ne garantit pas la sécurité de tous les appareils Android, mettant en lumière des menaces sérieuses pour la confidentialité et la sécurité des utilisateurs.
Google a supprimé 77 applications malveillantes ayant totalisé plus de 19 millions de téléchargements, mais elles pourraient encore être installées sur des millions d’appareils Android
Une nouvelle série d’applications malicieuses a réussi à infiltrer Google Play, accumulant plus de 19 millions d’installations avant que Google ne prenne connaissance de la situation. Des chercheurs de Zscaler’s ThreatLabs ont révélé l’ampleur du problème : 77 applications infectées par divers types de malwares ont compromis la sécurité et la vie privée de millions d’utilisateurs Android.
Selon BleepingComputer, l’analyse a montré que plus de 66 % de ces applications contenaient des composants de publicités indésirables. Le malware Joker est présent dans près d’un quart des applications détectées et se révèle particulièrement dangereux car il peut s’abonner à des services premium sans autorisation.
Principales menaces observées sur Google Play
Joker est une des menaces les plus sérieuses de cette opération, réapparaissant régulièrement au fil des ans. Il a la capacité de lire et d’envoyer des SMs, de prendre des captures d’écran, de passer des appels téléphoniques et de voler l’ensemble du carnet d’adresses. De plus, il peut accéder à des informations sensibles sur le mobile et s’abonner automatiquement à des services premium coûteux sans le consentement de l’utilisateur.
Des variantes comme Harly ont également été découvertes. Ce malware se cache derrière des applications légitimes tout en dissimulant son code malveillant dans les couches profondes du système pour éviter d’être détecté. Un autre type courant est le maskware, qui fonctionne apparemment de façon normale tout en volant discrètement des informations personnelles et des identifiants bancaires.
Ces menaces utilisent des techniques de plus en plus avancées pour contourner les systèmes de sécurité. Beaucoup se présentaient comme des outils utiles en matière de personnalisation, de divertissement, de photographie et de productivité, catégories auxquelles les utilisateurs accordent souvent leur confiance et qui accumulent rapidement des téléchargements.
Le cheval de Troie bancaire Anatsa, aussi connu sous le nom de TeaBot, a considérablement évolué durant cette campagne. Sa dernière version peut cibler plus de 831 applications bancaires et de cryptomonnaies, utilisant des techniques telles que des fichiers APK malformés, un chiffrement dynamique des chaînes et des systèmes pour détecter les émulateurs et éviter les contrôles de sécurité.
Cette menace manipule les permissions d’accessibilité d’Android pour obtenir des privilèges d’administration, ce qui lui permet de voler des informations bancaires. Le malware génère des pages de phishing qui imitent parfaitement les interfaces d’applications bancaires légitimes, trompant les utilisateurs pour qu’ils saisissent leurs identifiants.
Les attaquants utilisent des applications leurres comme « Document Reader – File Manager » qui, après installation, téléchargent le code malveillant depuis des serveurs externes. Netcost-security.fr a déjà signalé des applications similaires utilisant Anatsa pour subtiliser des informations bancaires, soulignant que ces campagnes malicieuses réapparaissent fréquemment.
Des variantes régionales, comme DroidBot, un autre malware bancaire récemment détecté, ciblent spécifiquement les utilisateurs Android en France et dans d’autres pays européens, en utilisant des techniques d’accès à distance et des keyloggers pour capturer des informations en temps réel.
Google a déjà supprimé toutes les applications identifiées dans cette enquête, mais les experts en cybersécurité recommandent des mesures préventives supplémentaires. Il est conseillé d’activer Play Protect, de toujours vérifier le développeur de l’application et de lire les avis d’autres utilisateurs avant d’installer quoi que ce soit. Il est également crucial de définir des permissions uniquement pour ce qui est indispensable au fonctionnement de chaque application.
En cas de suspicion d’infection par Anatsa ou d’autres chevaux de Troie bancaires, il est conseillé de contacter immédiatement le banquier pour protéger les comptes potentiellement compromis. Il est également essentiel de désinstaller sans tarder toute application suspecte et de réaliser une analyse complète du dispositif.
La persistance de telles menaces met en évidence les difficultés que rencontre Google pour sécuriser son écosystème. La société a déjà supprimé plus de 180 applications dangereuses dans des opérations antérieures, bien que de nombreuses applications malveillantes pourraient encore être présentes sur des appareils qui n’ont pas été mis à jour.
Les attaquants exploitent la popularité de certaines catégories d’applications pour lancer leurs attaques, en particulier des outils de productivité, de personnalisation et de divertissement. Même des applications prétendant être des antivirus se sont révélées être des logiciels espions conçus pour dérober des mots de passe et contrôler à distance les appareils infectés.
Le volume élevé de téléchargements que ces applications malveillantes ont accumulé avant d’être décelées reflète la sophistication croissante des campagnes de cybercriminalité mobile. Cette situation confirme que personne n’est complètement en sécurité face à ces menaces et qu’il est devenu indispensable de rester vigilant et d’appliquer de bonnes pratiques de sécurité pour garantir une protection numérique.