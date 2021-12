Google mène une guerre sans fin contre les acteurs malveillants qui veulent voler nos données avec des applications malveillantes. Au moins une fois par mois, la communauté de la cybersécurité semble découvrir une campagne de logiciels malveillants menaçant les utilisateurs d’Android. À la fin du mois dernier, des chercheurs de la société de cybersécurité ThreatFabric ont découvert un autre groupe d’applications malveillantes Android dangereuses sur le Play Store. Ces applications se présentent comme des scanners PDF, des lecteurs QR et des applications bancaires. Ils appartiennent à quatre familles de logiciels malveillants différentes, ont été distribués sur une période de quatre mois et ont été téléchargés plus de 300 000 fois.

Nouvelles applications malveillantes Android sur le Play Store

Des familles de malwares Android ont été découvertes sur Google Play en 2021. Source de l’image : ThreatFabric

Comme le note ThreatFabric, Google a fait des progrès en gardant les applications malveillantes Android hors de son magasin d’applications. Il y a quelques semaines, Google a comblé une faille qui permettait aux pirates d’abuser des outils d’accessibilité pour installer des applications sans le consentement de l’utilisateur. Mais les pirates ne cessent de trouver de nouvelles façons d’infiltrer le magasin.

Parce que Google travaille si dur pour détecter les logiciels malveillants, les créateurs de ces applications doivent trouver de nouvelles façons de contourner la détection. En conséquence, les acteurs de la menace ont été contraints de réduire l’empreinte des applications de compte-gouttes qu’ils créent. Plutôt que de télécharger une application manifestement malveillante sur Google Play, les pirates vont plutôt déployer « de petites mises à jour de code malveillant soigneusement planifiées sur une plus longue période ».

C’est un processus plus long et plus compliqué, mais il est beaucoup plus efficace pour éviter la détection. Lorsque les chercheurs ont initialement testé chacune des applications sur VirusTotal, ils sont revenus propres. Au fil des jours, des semaines ou des mois, une application par ailleurs inoffensive pourrait devenir dangereuse.

Comment fonctionne l’infiltration ?

Selon ThreatFabric, le cheval de Troie bancaire Anatsa est responsable de la majorité des infections découvertes par ses chercheurs. L’équipe a expliqué en détail comment Anatsa infecte les smartphones :

Le processus d’infection avec Anatsa ressemble à ceci : au début de l’installation depuis Google Play, l’utilisateur est obligé de mettre à jour l’application afin de continuer à utiliser l’application. À ce moment, la charge utile d’Anatsa est téléchargée à partir du ou des serveurs C2 et installée sur l’appareil de la victime sans méfiance. Les acteurs derrière cela ont pris soin de rendre leurs applications légitimes et utiles. Il y a un grand nombre de critiques positives pour les applications. Le nombre d’installations et la présence d’avis peuvent convaincre les utilisateurs d’Android d’installer l’application. De plus, ces applications possèdent en effet la fonctionnalité revendiquée, après l’installation, elles fonctionnent normalement et convainquent davantage la victime de leur légitimité. Malgré le nombre écrasant d’installations, tous les appareils sur lesquels ces compte-gouttes sont installés ne recevront pas Anatsa, car les acteurs se sont efforcés de cibler uniquement les régions qui les intéressent.

Nous avons déjà couvert des dizaines d’applications et de campagnes malveillantes Android. Souvent, les applications en question ne sont rien de plus que des contrefaçons bon marché qui ne servent à rien d’autre que d’infecter les téléphones. Dans ce cas, les applications fonctionnent réellement. Si l’utilisateur voit les résultats souhaités de son application, il n’a aucune raison de s’inquiéter. C’est pourquoi Google, les chercheurs et les utilisateurs doivent être de plus en plus diligents lors de l’installation d’applications. Réfléchissez à deux fois avant de télécharger une nouvelle application, même si elle est sur Google Play.

Consultez le rapport ThreatFabric pour vous assurer que vous n’avez aucune de ces applications malveillantes Android sur votre téléphone.