Cette campagne d’attaques est doublée par une autre s’appuyant essentiellement sur l’utilisation d’email de phishing, mettant de nouveau sur le devant de la scène Anubis, considéré souvent comme un redoutable malware. À titre de rappel, Anubis est un cheval de Troie célèbre, d'abord dans le domaine du cyberespionage, puis en tant que malware bancaire ces derniers temps. En juillet 2019, Trend Micro a déjà mis en garde sur le retour en force de ce virus qui se glisserait dans de nombreuses applications sur Google Play Store.
Une double campagne d’attaques, selon le rapport de Trend Micro
Jeudi dernier, Trend Micro a publié un rapport sur l'existence d'applications malveillantes, des chevaux de Troie, qui étaient affichées sur Google Play comme des utilitaires d’optimisation de la performance des appareils mobiles. Les logiciels malveillants installés dans l'appareil mobile ne figurent ni dans la liste des applications téléchargées ni dans celle des programmes en cours d’exécution, à la manière des applications système. D’ailleurs, à cette campagne s’ajoute une autre se basant sur l’utilisation d’e-mails de phishing : il s’agit bien entendu de ces courriels qui incitent les destinataires à installer l’application qui se trouve généralement en pièce jointe et qui s’apparente à un fichier inoffensif.
Résultats : plus de 470 000 téléchargements de ces applications malveillantes ont été enregistrés depuis 2017. Il est encore difficile d’évaluer l’étendue des dégâts causés par les quelque 3000 variantes de malwares ainsi téléchargés et installés dans les appareils mobiles, à l’insu des utilisateurs victimes. Un peu moins de 2600 variantes de ces programmes malveillants ont vu le jour en 2019.
Quelques noms d'application reviennent en récurrence, à savoir Speed Clean, Super Clean, Shoot Clean, Rocket Cleaner, mais aussi LinkWorldVPN, Quick Games, et H5 Gamebox. Ces applications sont généralement présentées comme des meilleures solutions dans l'amélioration de la performance des appareils mobiles. Néanmoins, une fois que l’utilisateur mord à l’hameçon en installant le soi-disant utilitaire, le programme télécharge ensuite d’autres applications ingénieusement conçues en matière de piratage : leurs actions vont du vol de données personnelles, en passant par la fraude bancaire, jusqu’à celles des rançongiciels.
De temps en temps, et sans que leurs propriétaires en soient préalablement informés, certains des appareils infectés publient des commentaires favorables pour ces applications malveillantes en donnant systématiquement à celles-ci des notes maximums sur des plateformes d'annonces pour les appareils fonctionnant sur Android. De même, il arrive souvent que ces appareils soient utilisés par les pirates pour cliquer sur des annonces afin de manipuler frauduleusement les techniques publicitaires.
Selon Trend Micro, le processus type de l’attaque se déroule en plusieurs étapes :
- quelques applications figurent dans la liste de programmes légitimes, affichées sur Google Play Store, et vantées comme d’une utilité importante pour les appareils mobiles. Cela est destiné à appâter les utilisateurs les moins soucieux en matière de sécurité ;
- une fois installé, le malware tente de rendre transparents les indicateurs d’activités de celui-ci dans l’appareil infecté, de manière à dissimuler le contenu malveillant ;
Capture d'écran du code permettant au malware de mettre en transparence les indicateurs d'activités de celui-ci dans l'appareil infecté - un service dénommé « com.adsmoving.MainService » s’active sous le package Java « com.adsmoving » pour se connecter aux serveurs de configuration d’annonces publicitaires gérés par les pirates. Cela permet à l’application installée de diffuser des annonces malveillantes, soutenant et recommandant l’utilisation de cette application au vu d’autres utilisateurs potentiels : cela concerne aussi un grand nombre de plateformes légitimes d’annonces pour les appareils mobiles tels que Facebook Audience Network et Google AdMob ;
- l’utilisateur de l’appareil d’installation du malware est invité à autoriser l’accessibilité sur cet appareil en désactivant la protection fournie par Google Play Protect. Cela ouvre la voie au soi-disant programme utilitaire de performance pour télécharger d’autres applications malveillantes en toute discrétion. C’est aussi l’occasion pour poster des fausses évaluations positives pour plusieurs applications servant d’appâts aux internautes sur de nombreuses plateformes d'annonces de logiciels Android. L’ouverture de l’accessibilité amène aussi l’appareil infecté à se connecter aux malwares installés via les comptes Facebook et Google de l’utilisateur.
La Chine : invulnérable ?
Trend Micro remarque un curieux fonctionnement de cette campagne d’attaque qui est en fonction de la localisation géographique de l’appareil cible. D’abord, le nombre d’infections par pays varie considérablement, laissant croire que le Japon (totalisant presque les 75 % des infections identifiées), le Taiwan, les États-Unis, Israël, et l’Inde sont les principales régions cibles de ce piratage de grande envergure, en se basant sur les statistiques de ces trois derniers mois.
Les chercheurs de Trend Micro ont également essayé de faire varier la valeur du paramètre géographique en modifiant le code pays des appareils infectés. Les serveurs de configuration à distance des annonces, auxquels les appareils se sont connectés après installation des malwares, ont renvoyé systématiquement du contenu malveillant, sauf pour un seul pays : la Chine. En effet, en mettant « cn » comme valeur du paramètre géographique, plus aucun contenu malveillant n’a été renvoyé.
Capture d'écran du code démontrant que le contenu malveillant n'est pas renvoyé à un appareil avec un paramètre géographique défini sur la Chine[
Campagne de phishing intelligente et Anubis
Une autre campagne d’attaques, complétant la précédente, consiste en une infection des appareils avec notamment Anubis, l’un des malwares les plus célèbres pour leur ingéniosité. Déjà, en août 2018, des applications figurant sur Google Play ont commencé à servir d’appâts pour mener vers l’installation d’Anubis sur les appareils mobiles. Une fois installée, en demandant l’autorisation d’effectuer l’installation à partir d’autres sources que Google Play, l’application en question affiche un faux message de Google Protect qui invite l’utilisateur à permettre une soi-disant opération inoffensive. Or, en cliquant sur « OK », l’utilisateur désactive Play Protect et accorde une dizaine d’autorisations, dont nombreuses sont très sensibles.
Anubis est ensuite en mesure de vérifier la présence dans l’appareil infecté de plusieurs applications bancaires et commerciales. Dès l’ouverture de l’une de celles-ci, le malware bloque la boîte de dialogue authentique d’Android, et superpose un écran pour recueillir le mot de passe de l’utilisateur relatif à l’application ainsi ouverte.
Désormais, toutes ces informations démontrent combien il est difficile d’éviter les attaques, surtout pour les utilisateurs les moins experts. D’habitude, l’on se fie au fait que Google n'afficherait sur son store que les applications jugées comme légitimes, mais cette double campagne d’attaques laisse perplexe sur les failles qui limitent cette stratégie. De même, il est souvent préconisé de tenir compte des avis laissés par les autres utilisateurs à propos d'un logiciel avant de l'installer ; on met souvent en garde pour ce qui est des applications ne bénéficiant que de faibles recommandations d’utilisateurs.
Cependant, les pirates ont fait de cette préconisation l’une de leurs plus grandes forces d’attaque. Tout de même, les internautes les plus précautionneux trouveront peut-être une nuance à cette potentialité malveillante, car les avis postés via les appareils infectés sont caractérisés par des messages pratiquement uniformes, du genre : « Super, fonctionne bien et rapidement » ; d’autant plus que les malwares reçoivent systématiquement des notes maximums par les utilisateurs.
En tout cas, il incombe à l’utilisateur de prendre toutes les mesures pour avoir un maximum d’information sur toute application avant de l’installer. Dans le même sens, il est vivement conseillé d’éviter d’installer une application ayant transité par email.
Source : Trend Micro
Et vous ?
Qu'en pensez-vous ?
Comment peut-on identifier et éviter d'installer ces applications malveillantes selon vous ?
Voir aussi :
Google Play Store Swift Cleaner abrite un malware aux fonctionnalités multiples, l'application sert pourtant d'outil d'optimisation
Android : des malwares dissimulent une partie de leur code sur des serveurs distants pour tromper la sécurité de Google Play
Google Play : découverte de nouvelles applications Android contenant un cheval de Troie bancaire, Trend Micro explique leur mode opératoire
Google avertit que des dizaines de millions de téléphones Android sont préchargés avec des logiciels malveillants dangereux, plus de 200 fabricants d'appareils ont été mis à rude épreuve
Une vulnérabilité affectant des millions de téléphones Android est activement exploitée par des malware leur permettant de se faire passer pour des applications déjà installées