Certains articles de veille peuvent faire l'objet de traduction automatique.
Les chercheurs ont déclaré avoir a découvert un lot d’applications téléchargées depuis Google Play plus de 300 000 fois avant que les applications ne se révèlent être des chevaux de Troie bancaires qui siphonnaient subrepticement les mots de passe des utilisateurs et les codes d’authentification à deux facteurs, enregistraient les frappes au clavier et prenaient des captures d’écran.
Les applications, qui se présentent comme des scanners QR, des scanners PDF et des portefeuilles de crypto-monnaie, appartenaient à quatre familles de logiciels malveillants Android distinctes qui ont été distribuées sur quatre mois. Ils ont utilisé plusieurs astuces pour contourner les restrictions que Google a conçues dans le but de freiner la distribution sans fin d’applications frauduleuses sur son marché officiel. Ces limitations incluent la restriction de l’utilisation des services d’accessibilité pour les utilisateurs malvoyants afin d’empêcher l’installation automatique d’applications sans le consentement de l’utilisateur.
Petite empreinte
« Ce qui rend ces campagnes de distribution Google Play très difficiles à détecter du point de vue de l’automatisation (bac à sable) et de l’apprentissage automatique, c’est que les applications de compte-gouttes ont toutes une très faible empreinte malveillante », ont écrit des chercheurs de la société de sécurité mobile ThreatFabric dans un Publier. « Cette petite empreinte est une conséquence (directe) des restrictions d’autorisation imposées par Google Play. »
Au lieu de cela, les campagnes ont généralement fourni une application bénigne au début. Une fois l’application installée, les utilisateurs ont reçu des messages leur demandant de télécharger des mises à jour qui installaient des fonctionnalités supplémentaires. Les applications nécessitaient souvent le téléchargement de mises à jour à partir de sources tierces, mais à ce moment-là, de nombreux utilisateurs leur faisaient confiance. La plupart des applications n’avaient initialement aucune détection par les vérificateurs de logiciels malveillants disponibles sur VirusTotal.
Les applications ont également volé sous le radar en utilisant d’autres mécanismes. Dans de nombreux cas, les opérateurs de logiciels malveillants ont installé manuellement des mises à jour malveillantes uniquement après avoir vérifié l’emplacement géographique du téléphone infecté ou en mettant à jour les téléphones de manière incrémentielle.
« Cette incroyable attention consacrée à éviter l’attention indésirable rend la détection automatisée des logiciels malveillants moins fiable », a expliqué le post de ThreatFabric. « Cette considération est confirmée par le très faible score global de VirusTotal du nombre de 9 compte-gouttes que nous avons étudiés dans cet article de blog. »
La famille de logiciels malveillants responsable du plus grand nombre d’infections est connue sous le nom d’Anatsa. Ce « cheval de Troie bancaire Android assez avancé » offre une variété de fonctionnalités, y compris l’accès à distance et systèmes de transfert automatique, qui vident automatiquement les comptes des victimes et envoient le contenu aux comptes appartenant aux opérateurs de logiciels malveillants.
Les chercheurs ont écrit :
Le processus d’infection avec Anatsa ressemble à ceci : au début de l’installation depuis Google Play, l’utilisateur est obligé de mettre à jour l’application afin de continuer à utiliser l’application. À ce moment, [the] La charge utile d’Anatsa est téléchargée à partir du ou des serveurs C2 et installée sur l’appareil de la victime sans méfiance.
Les acteurs derrière cela ont pris soin de rendre leurs applications légitimes et utiles. Il y a un grand nombre de critiques positives pour les applications. Le nombre d’installations et la présence d’avis peuvent convaincre les utilisateurs d’Android d’installer l’application. De plus, ces applications possèdent en effet la fonctionnalité revendiquée ; après l’installation, ils fonctionnent normalement et convainquent en outre [the] victime [of] leur légitimité.
Malgré le nombre écrasant d’installations, tous les appareils sur lesquels ces compte-gouttes sont installés ne recevront pas Anatsa, car les acteurs se sont efforcés de cibler uniquement les régions qui les intéressent.
Trois autres familles de logiciels malveillants découvertes par les chercheurs comprenaient Alien, Hydra et Ermac. L’un des compte-gouttes utilisés pour télécharger et installer des charges utiles malveillantes était connu sous le nom de Gymdrop. Il a utilisé des règles de filtrage basées sur le modèle de l’appareil infecté pour empêcher le ciblage des appareils des chercheurs.
Nouveaux exercices d’entraînement
« Si toutes les conditions sont remplies, la charge utile sera téléchargée et installée », indique le message. « Ce compte-gouttes ne demande pas non plus les privilèges du service d’accessibilité ; il demande simplement l’autorisation d’installer des packages, agrémenté de la promesse d’installer de nouveaux exercices d’entraînement, pour inciter l’utilisateur à accorder cette autorisation. Une fois installé, la charge utile est lancée. Notre information sur les menaces montre qu’à l’heure actuelle, ce compte-gouttes est utilisé pour distribuer [the] Cheval de Troie bancaire extraterrestre.
Invité à commenter, un porte-parole de Google a souligné ce post d’avril détaillant les méthodes de l’entreprise pour détecter les applications malveillantes soumises à Play.
Poster un commentaire