Un logiciel malveillant Android sournois échappe à la détection – Votre téléphone est-il en sécurité ? [Updated]

Mise à jour: Google a envoyé un commentaire concernant le SoumniBot.

« D'après notre détection actuelle, aucune application contenant ce malware n'est trouvée sur Google Play. Les utilisateurs d'Android sont automatiquement protégésIl n'existe aucune version connue de ce malware par Google Play Protect, qui est activé par défaut sur les appareils Android dotés des services Google Play. Google Play Protect peut avertir les utilisateurs ou bloquer les applications connues pour présenter un comportement malveillant, même lorsque ces applications proviennent de sources extérieures à Play.

Un autre jour, un autre cheval de Troie est en liberté, ciblant les utilisateurs d'Android. Cette fois, le « SoumniBot » a été trouvé et des astuces assez astucieuses ont été utilisées pour éviter d'être détecté. Actuellement, il cible principalement les utilisateurs de Corée du Sud en exploitant les faiblesses de la procédure d'extraction et d'analyse des manifestes.

Comme vous le savez peut-être ou non, chaque application Android est livrée avec un fichier XML manifeste, qui se trouve dans le répertoire racine et déclare les différents composants de l'application, ainsi que les autorisations et les fonctionnalités matérielles et logicielles dont elle a besoin. Parce que cela est très connu, les chasseurs de menaces commencent généralement leur analyse en inspectant le fichier manifeste de l'application pour déterminer son comportement.

Il est important de noter que cette méthode a été adoptée par des acteurs malveillants associés à plusieurs chevaux de Troie bancaires Android depuis avril 2023. De plus, SoumniBot déforme également la taille du fichier manifeste archivé, fournissant une valeur qui dépasse le chiffre réel car le fichier « non compressé » est directement copié, l'analyseur manifeste ignorant le reste des données de « superposition ».

Le chercheur de Kaspersky, Dmitry Kalinin, a déclaré que ce malware se distingue par son approche non conventionnelle pour échapper à l'analyse et à la détection. Kalinin a également déclaré : « Bien que tout décompresseur qui implémente correctement la validation de la méthode de compression considérerait un tel manifeste comme invalide, l'analyseur APK d'Android le reconnaît correctement et permet à l'application d'être installée. »

SoumniBot sera invisible une fois votre appareil infecté

Comme beaucoup d’autres chevaux de Troie affectant les appareils Android, SoumniBot masquera son icône après l’installation, ce qui la rendra plus difficile à supprimer. Mais il reste actif en arrière-plan, téléchargeant les données de la victime.

Kaspersky donne plus de détails sur ce cheval de Troie Android et fournit quelques indicateurs de compromission, afin que vous puissiez vous protéger ainsi que vos appareils. La raison pour laquelle Kaspersky détaille les techniques utilisées par ce cheval de Troie est que les chercheurs du monde entier soient conscients de la tactique et puissent élaborer des solutions pour empêcher SoumniBot de causer davantage de dégâts.