Malgré tous les efforts de Google, les applications Android malveillantes contournent fréquemment ses mesures de sécurité et se retrouvent dans le Play Store. Les utilisateurs téléchargent ensuite ces applications en supposant qu'elles sont sûres, pour ensuite être une autre victime de campagnes de logiciels malveillants. Les chercheurs en sécurité Zscaler ThreatLabz ont récemment découvert plus de 90 applications Android de ce type, avec plus de 5,5 millions de téléchargements combinés sur le Play Store.
Plus de 90 applications Android malveillantes découvertes sur le Play Store
Dans un article de blog, le cabinet d'études a souligné une récente augmentation de l'activité du cheval de Troie bancaire Anatsa. Également connu sous le nom de Teabot, le cheval de Troie cible les applications de plus de 650 institutions financières dans le monde, tentant de voler les informations d'identification bancaires des personnes afin d'effectuer des transactions frauduleuses. Il a réalisé plus de 150 000 infections en quelques mois entre fin 2023 et février 2024 via le Play Store en utilisant diverses applications leurres.
Selon Zscaler ThreatLabz, la dernière campagne de malware Anatsa a utilisé des applications nommées « PDF Reader & File Manager » et « QR Reader & File Manager » comme applications leurres. Les deux applications, depuis supprimées du Play Store, totalisaient 70 000 installations lorsque la société a découvert qu'elles distribuaient des logiciels malveillants. Les acteurs menaçants à l’origine de la campagne ont utilisé un mécanisme en plusieurs étapes pour éviter d’être détectés.
Une fois l’application malveillante installée sur un appareil Android, elle récupère la configuration et les chaînes essentielles du serveur C2. L'application télécharge ensuite le fichier DEX contenant le code compte-gouttes malveillant et l'active sur l'appareil. Ceci est suivi d'un fichier de configuration avec l'URL de la charge utile Anatsa. Enfin, le fichier DEX télécharge l’APK de la charge utile du malware et l’installe pour terminer l’infection.
Le malware dispose également d’un mécanisme pour éviter son exécution sur des sandbox ou des environnements d’émulation. Tout cela rend difficile sa détection par les systèmes de sécurité. Cependant, le malware Anatsa n'est pas le seul découvert par Zscaler ThreatLabz sur le Play Store. La société de recherche a découvert plus de 90 applications distribuant divers autres types de logiciels malveillants, notamment Joker, Facestealer, Coper et Adware.
Évitez de télécharger des alternatives tierces pour les applications stock
Les chercheurs n'ont pas divulgué les noms des autres applications malveillantes trouvées sur le Play Store. Ils ont déclaré que les applications usurpaient l'identité de divers outils de productivité, outils de personnalisation, utilitaires de photographie et applications de santé et de remise en forme. La société a probablement déjà signalé les applications à Google et les a peut-être supprimées du Play Store.
Cependant, ce n’est certainement pas la fin des applications chargées de logiciels malveillants sur la boutique d’applications officielle d’Android. Les auteurs de menaces ont souvent une longueur d’avance sur les experts en sécurité. Ils trouvent toujours un moyen de contourner les mesures de sécurité de Google. Vous devez être prudent lorsque vous téléchargez des applications de développeurs moins connus. La plupart des appareils Android sont livrés avec un gestionnaire de fichiers intégré, un lecteur PDF, une application appareil photo et d'autres outils de productivité. Évitez de télécharger des alternatives tierces.
