Alerte sur le Play Store : ces 77 applications malveillantes ont piégé des millions de personnes !

C'est une nouvelle preuve que la vigilance est de mise, même sur les boutiques d'applications officielles. Une nouvelle enquête menée par les chercheurs de Zscaler vient de révéler une campagne massive de malwares sur le Google Play Store. Au total, 77 applications, se faisant passer pour des outils inoffensifs comme des lecteurs de documents, ont servi de vecteurs pour infecter des millions de smartphones Android à travers le monde. Une nouvelle qui prête à sourire quand on apprend que Google souhaite en finir plus ou moins avec le Sideloading en évoquant un problème de sécurité...

Comment ces applications malveillantes fonctionnent-elles ?

La technique des pirates est particulièrement sournoise pour déjouer les contrôles de sécurité de Google. L'application que vous téléchargez depuis le Play Store est initialement "propre" et fonctionnelle.

Ce n'est qu'une fois installée sur votre appareil qu'elle télécharge discrètement la charge malveillante, souvent sous le prétexte d'une mise à jour nécessaire. En vous incitant ensuite à activer les services d'accessibilité d'Android, le malware obtient les autorisations nécessaires pour prendre le contrôle de votre appareil et automatiser ses actions malveillantes.

Quels sont les risques pour les utilisateurs infectés ?

Ces applications dissimulaient en réalité un large éventail de malwares, avec deux familles particulièrement dangereuses : Anatsa et Joker.

• Anatsa (ou TeaBot) : C'est un cheval de Troie bancaire redoutable qui cible désormais plus de 830 institutions financières dans le monde. Il est capable de voler vos identifiants en affichant de fausses pages de connexion par-dessus vos applications bancaires et d'enregistrer tout ce que vous tapez au clavier.
• Joker (et son variant Harly) : Ce logiciel espion peut voler vos contacts, faire des captures d'écran, lire vos SMS et même vous abonner à des services payants à votre insu.

La majorité des applications contenaient également des adwares (logiciels publicitaires) agressifs.

Comment les pirates arrivent-ils à déjouer la sécurité de Google ?

Cette affaire met une nouvelle fois en lumière la difficulté pour Google de garantir la sécurité de sa boutique d'applications. La stratégie des pirates repose sur plusieurs techniques d'évasion :

Le code malveillant étant téléchargé après l'installation, il échappe à l'analyse initiale de Google. De plus, les pirates utilisent des techniques d'obfuscation pour rendre leur code illisible et des vérifications pour détecter s'ils s'exécutent dans un environnement de test, ce qui leur permet de rester inactifs pendant les contrôles de sécurité. Les experts craignent que l'avènement de l'IA ne facilite encore plus la création de ces menaces sophistiquées.

Foire Aux Questions (FAQ)

Qu'est-ce que le malware Anatsa ?

Anatsa, aussi connu sous le nom de TeaBot, est un cheval de Troie bancaire. Son objectif principal est de voler des informations financières. Il utilise des techniques de superposition pour afficher de fausses fenêtres de connexion au-dessus de vos applications bancaires ou de cryptomonnaies légitimes afin de récupérer vos identifiants et mots de passe.

Google a-t-il supprimé ces applications ?

Oui, Zscaler a rapporté que Google a retiré toutes les 77 applications malveillantes identifiées du Play Store. Cependant, le mal est déjà fait pour les 19 millions d'utilisateurs qui les avaient déjà installées sur leurs appareils.

Comment puis-je me protéger de ce type de menace ?

La meilleure défense est la vigilance. Vérifiez toujours les permissions demandées par une application lors de son installation. Un simple lecteur de documents n'a aucune raison de demander l'accès à vos SMS ou à vos contacts. Méfiez-vous des applications qui demandent l'activation des services d'accessibilité si cela ne semble pas justifié.