Bien que le Google Play Store puisse être considéré comme un endroit sûr à partir duquel télécharger des applications fiables, le magasin Android continue d’être une cible d’une campagne malveillante capable de tromper des millions d’utilisateurs. Les chercheurs de Zscaler Threatlabz ont en fait identifié 77 applications contenant plusieurs familles de logiciels malveillants qui ont marqué plus de 19 millions d’installations globales.
L’un des protagonistes de cette énorme vague de logiciels malveillants a été le Troie bancaire d’Anata, caché dans des applications apparemment légitimes. Parmi ceux-ci, les chercheurs en ont identifié un en particulier, appelé Document Reader – File Manager, qui parvient à télécharger la charge utile uniquement après l’installation réelle de l’application sur le smartphone, afin d’échapper aux vérifications de sécurité rigides implémentées par Google.
Une fois actif, ce virus Android utilise l’accessibilité permet typique des gestionnaires de fichiers pour obtenir des privilèges étendus et affiche des pages de phishing pour plus de 800 applications bancaires et de crypto-monnaie. Contrairement aux anciennes versions du malware, Anatsa est désormais également équipée d’un module KeyLogger pour le vol générique des données sur l’appareil.
Selon les chercheurs de Threatlabz, la situation est encore plus critique, est l’évolution rapide du Troie: si dans les 650 dernières applications financières ciblées, au cours des derniers mois, le nombre est passé à 831, avec une diffusion à grande échelle qui ne concerne plus seulement l’Europe mais aussi les pays asiatiques comme la Corée du Sud.
Suivez Google Italia sur Telegram, recevez des nouvelles et offre d’abord
La vague d’applications infectées est beaucoup plus étendue
À côté d’Anatsa, les chercheurs ont trouvé d’autres familles de logiciels malveillants bien connus de professionnels. Le plus répandu est Joker, présent dans près d’un quart des applications analysées. Ce malware est capable de lire et d’envoyer des SMS, de passer des appels, d’extrapoler les chiffres enregistrés dans le carnet d’adresses, d’enregistrer les utilisateurs inconsciemment à des services premium et même d’attraper des captures d’écran secrètement lors de l’utilisation du smartphone.
Une deuxième variante du même malware, appelé Harly, a également été identifiée, qui se masque de l’application légitime mais qui cache le code malveillant en profondeur afin d’échapper aux systèmes de sécurité de Google. Déjà en mars dernier, plusieurs chercheurs avaient trouvé ce logiciel malveillant dans des applications avec des milliers de téléchargements sur les jeux actifs, tels que des jeux, des applications pour télécharger de nouveaux arrière-plans ou modifier des photographies.
Plus de 66% des applications découvertes par ThreatLabz contenaient plutôt des logiciels publicitaires, c’est-à-dire un logiciel malveillant affichant des annonces indésirables sur les appareils, tandis qu’un pourcentage inférieur contenait des masques à l’intérieur, ou des applications qui imitent à tous égards le fonctionnement d’un logiciel légitime mais qui collectionne réellement des données sensibles en arrière-plan. Quelque chose de similaire a également été découvert récemment avec Lunaspy, un malware qui a fait semblant d’être un antivirus pour Android.
La bonne nouvelle est que le géant de Mountain View a déjà supprimé toutes les applications infectées du Google Play Store. Si vous remarquez des comportements étranges sur votre appareil, la meilleure chose à faire est de contrôler toutes les applications installées et de procéder à la suppression des plus suspectes, préférant les applications de développeurs fiables et bien connus.
Pour éviter de tomber dans ces pièges à l’avenir, cependant, les comportements à suivre sont toujours les mêmes: gardez toujours Google Play Protect actif sur votre smartphone, téléchargez les applications uniquement à partir de sources fiables, en évitant d’installer APK téléchargé à partir du Web, en lisant toujours les avis des autres utilisateurs sur Google Play Store et surtout sans accorder uniquement les permis strictement nécessaires.
