Tekya est présent dans 56 applications qui étaient disponibles dans Google Play Store et qui ont été téléchargées près d'un million de fois et installées dans plus de 1,7 million d'appareils. Le malware imite les actions des victimes afin de cliquer sur des publicités et des bannières diffusées par Google AdMob, AppLovin ', Facebook, Unity, et d'autres agences du même type. 24 de ces applications sont des jeux pour enfants tandis que les 32 autres sont des applications utilitaires comme des calculatrices, des traducteurs ou des applications de cuisine.
Parmi ces applications, on peut citer les jeux Race In Space, Cooking Delicious ou Let Me Go, qui affichent respectivement 100 000 installations via Google Play Store.
Pour que les outils de sécurité de Google, Play Protect et VirusTotal, ne détectent le comportement malveillant, ces applications ont été écrites en code Android natif, principalement dans les langages C et C ++. Généralement, les applications utilisent Java pour l'implémentation de la logique. L'interface de ce langage permet aux développeurs d'avoir accès plus facilement à plusieurs couches d'abstraction. En outre, le code natif est implémenté à un niveau beaucoup plus bas. Même si Java est facile à décompiler, il est beaucoup plus difficile de réaliser cette action avec du code natif.
Une fois installée, l'application infectée par Tekya permet l'enregistrement d'un récepteur de diffusion (us.pyumo.TekyaReceiver) qui va effectuer plusieurs actions :
- BOOT_COMPLETED pour permettre l'exécution du code au démarrage de l'appareil ;
- USER_PRESENT pour détecter quand l'utilisateur utilise l'appareil activement ;
- QUICKBOOT_POWERON pour permettre l'exécution du code après le redémarrage de l'appareil.
TekyaReceiver va charger la bibliothèque native libtekya.so dans le dossier « Bibliothèques » dans le fichier .apk.
Dans la bibliothèque native libtekya.so, une fonction nommée « zzdtxq » va effectuer trois actions :
- « appeler la fonction ffnrsv, responsable de l'analyse du fichier de configuration » ;
- « appeler les getWindow et getDecorView pour obtenir les descripteurs nécessaires » ;
- « appeler une sous-fonction sub_AB2C ».
« Enfin, la sous-fonction sub_AB2C crée et distribue des événements tactiles, imitant un clic via le mécanisme MotionEvent », expliquent les chercheurs Check Point Research.
Peu de temps après la publication de ce rapport, les 56 applications listées par Check Point Research ont disparu du Play Store de Google.
Source : Check Point Research
Et vous ?
Que pensez-vous des changements que pourrait faire Google afin d'éviter ce genre de problème ?
Voir aussi :
Trend Micro découvre des applications malveillantes d'optimisation téléchargées plus de 470 000 fois sur Google Play, avec des activités suspectes comme la fraude bancaire et les demandes de rançon
Android : neuf millions de smartphones infectés par BadNews, le malware se serait dissimulé dans 32 applications sur Google Play
Google Play Store : Swift Cleaner abrite un malware aux fonctionnalités multiples, l'application sert pourtant d'outil d'optimisation
Une vulnérabilité affectant des millions de téléphones Android est activement exploitée par des malware, leur permettant de se faire passer pour des applications déjà installées
Google supprime d'autres applications infectées par le Trojan Ztorg du Play Store, qui a déjà à son actif plus d'un million de téléchargements