Posté le juin 11, 2023 à 8:09
PLUS DE 60 000 APPLICATIONS ANDROID TOUCHÉES PAR UNE CAMPAGNE DE LOGICIEL MALVEILLANT CACHÉ
Bitdefender a identifié une campagne de logiciel malveillant caché qui existe sans être détectée sur des appareils mobiles dans le monde entier. Le logiciel malveillant en question existe depuis plus de six mois. La campagne de piratage lancée par les acteurs de la menace a été conçue pour installer des adwares sur les appareils Android dans le but de générer des revenus pour ces hackers.
Plus de 60 000 applications Android ciblées par un logiciel malveillant
Bitdefender a publié un blog indiquant que le logiciel malveillant permettait aux acteurs de la menace de changer facilement de tactique et de rediriger les utilisateurs vers d’autres formes de logiciel malveillant, notamment des chevaux de Troie bancaires, afin de voler les identifiants et les données financières des utilisateurs.
Bitdefender a détecté 60 000 applications Android uniques qui ont été infectées par cet adware. L’entreprise soupçonne par ailleurs que d’autres attaques pourraient avoir lieu dans la nature. Le logiciel malveillant en question existe depuis octobre de l’année dernière, et il cible des utilisateurs au Brésil, en France, en Allemagne, en Corée du Sud, au Royaume-Uni et aux États-Unis.
La firme de cybersécurité a également déclaré que le nombre élevé d’échantillons qui ont été découverts par les hackers montre que l’opération a été entièrement automatisée. Cet acteur de la menace s’appuie sur des applications tierces pour distribuer le logiciel malveillant. Le rapport ajoute que les hackers avaient besoin d’inciter les utilisateurs à télécharger et à installer des applications tierces. Ces applications offrent des produits et des services qui ne sont pas disponibles dans les magasins officiels.
Dans certains cas, ces applications imitent les vraies applications publiées sur Google Play Store. Parmi les applications imitées par le logiciel malveillant, on trouve des tutoriels VPN gratuits, des cracks de jeux et des jeux contenant des fonctionnalités déverrouillées.
« La distribution est organique, car le logiciel malveillant apparaît lors de la recherche de ce type d’application, de mods, de cracks, etc. », a indiqué le rapport de Bitdefender. L’entreprise a également déclaré que les mods sont devenus de plus en plus populaires sur Internet et que, dans certains cas, des sites Web ont été créés pour offrir exclusivement ce type de services.
Les applications mod fonctionnent comme des applications originales modifiées, dont toutes les fonctionnalités sont débloquées. Ces applications permettent aussi d’apporter des modifications à la programmation initiale. Lorsqu’un utilisateur ouvre un site web à partir d’un résultat de recherche Google d’une application mod, il est redirigé vers une page publicitaire aléatoire. Dans certains cas, la page téléchargera des logiciels malveillants au lieu de servir un but légitime.
Les hackers ont réussi à éviter d’être détectés
Les applications qui contiennent le logiciel malveillant fonctionnent comme des applications Android normales utilisées pour l’installation, et elles invitent l’utilisateur à lancer un fichier après son installation. Cependant, le logiciel malveillant n’est pas configuré pour s’exécuter seul, car cela pourrait nécessiter davantage d’autorisations.
Google n’offre plus la possibilité de masquer l’icône d’une application sur les appareils Android après l’enregistrement d’un lanceur. Toutefois, cette fonction ne fonctionne que si le lanceur a été enregistré. Pour éviter d’avoir à se conformer à cette exigence, les joueurs malveillants n’enregistreront aucun lanceur et se fieront à l’utilisateur et au comportement d’installation par défaut d’Android pour lancer l’application pour la première fois.
Une fois le logiciel malveillant installé, il affiche un message indiquant que l’application n’est plus disponible. Ainsi, l’utilisateur est amené à croire que le logiciel malveillant n’a pas été installé.
Le blog de Bitdefender note que l’absence d’icône sur le lanceur et le caractère UTF-8 rendent difficile la détection et la désinstallation par l’utilisateur, ce qui signifie que ce dernier a moins de chances de trouver l’application. Une fois l’application lancée, elle communiquera avec les serveurs des hackers pour sécuriser les publicités. Les URL seront affichées dans le navigateur mobile ou sous la forme d’une publicité WebView en plein écran.
Ce rapport intervient alors que les appareils Android sont de plus en plus ciblés par les hackers. En mai, un module logiciel Android contenant une fonctionnalité d’espionnage connue sous le nom de SpinOk a été détecté par une société de cybersécurité connue sous le nom de Doctor Web.
Le logiciel malveillant en question recueille des informations sur les fichiers disponibles sur les appareils. Le logiciel malveillant peut par la suite transférer ces fichiers à des acteurs de la menace. Il peut également modifier et télécharger le contenu du presse-papiers vers un serveur distant. Les applications Android dotées d’un module SpinOk avec des fonctions d’espionnage ont été installées plus de 421 millions de fois.
Selon un autre rapport publié cette semaine, 101 applications supplémentaires affectées par le logiciel malveillant Android SpinOK distribué sous la forme d’un paquet publicitaire ont été détectées. Le rapport de CloudSek indique que 43 de ces applications sont toujours actives sur Google Play Store et que certaines d’entre elles ont même été téléchargées plus de 5 millions de fois.
