Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Play Store : Google a supprimé 17 applications Android infectées par le malware Joker,
Et téléchargées plus de 120 000 fois

Le , par Axel Lecomte

55PARTAGES

3  0 
En 2017, le malware « Joker » a fait son apparition et ne cesse de faire des ravages sur Google Play Store. Il s'agit de l'un des plus grands logiciels malveillants ciblant systématiquement les appareils Android. En janvier 2020, Google l’avait indiqué comme étant l’un des malwares les plus persistants menaçant ses utilisateurs. La raison ? Joker a été conçu pour voler des SMS, des listes de contacts et des informations sur les appareils, mais également pour inscrire silencieusement la victime aux services de protocole d'application sans fil (WAP) premium.

Et c’est toujours sur ce même principe qu’il a fait sa réapparition ces derniers temps. En effet, les chercheurs de Zscaler, une société spécialisée dans la cyber-sécurité, ont constaté que 17 applications ont été gangrenées par ce virus. En outre, ces applications ont été téléchargées d'un bout à l'autre du Google Play Store plus de 120 000 fois, ce qui signifie qu'il existe des centaines de milliers de victimes potentielles en ce moment. Par conséquent, la firme de Mountain View a donc pris la décision de supprimer les 17 applications infectées par le fameux Joker.


« Notre équipe de recherche ZscalerThreatLabZ surveille en permanence le malware Joker. Récemment, nous avons constaté qu'il était régulièrement téléchargé sur Google Play Store. Une fois avertie par nos soins, l'équipe de sécurité de Google Android a rapidement pris des mesures pour supprimer les applications suspectes de la boutique Google Play », a annoncé Viral Gandhi, chercheur en sécurité chez Zscaler.

All Good PDF Scanner ; Mint Leaf Message-Your Private Message ; Unique Keyboard - Fancy Fonts & Free Emoticons ; Tangram App Lock ; Direct Messenger ; Private SMS ; One Sentence Translator - Multifunctional Translator ; Style Photo Collage ; Meticulous Scanner ; Desire Translate ; Talent Photo Editor - Blur focus ; Care Message ; Part Message ; Paper Doc Scanner ; Blue Scanner ; Hummingbird PDF Converter - Photo to PDF ; All Good PDF Scanner, sont les 17 applications supprimées par Google, listées par Zscaler.

La suppression de ces applications a permis à l'équipe de Zscaler d'évaluer dans quelle mesure Joker parvient à contourner le processus de vérification de Google Play.

Comment Joker fonctionne-t-il ?

Dans son blog, la société a démontré les tactiques utilisées par l'auteur du malware Joker à se faufiler au-delà des défenses de Google. Et sa façon de faire est très variée, mais ils ont identifié trois scénarios bien distincts.

« Dans certaines des variantes du Joker, nous avons vu la charge utile finale livrée via une URL directe reçue du serveur de commandement et de contrôle (C&C). Dans cette variante, l'application Google Play store infectée a l'adresse C&C cachée dans le code lui-même avec un obscurcissement de la chaîne. Nous avons observé que la chaîne « sticker » était utilisée pour casser l'adresse C&C afin de la cacher de la simple recherche grep ou par chaîne », a expliqué Gandhi viral au sujet du premier scénario d'attaque du Joker, qui consiste en un téléchargement direct.

Une fois le téléchargement terminé et l'application correctement installée, qui est infectée par le virus, entre en contact avec le serveur de C&C, qui lui renvoie en retour l'URL d'une charge utile finale. En outre, ce fichier JSON fournit également des instructions sur le nom de la classe que la charge utile finale doit exécuter afin de pouvoir mener à bien toute activité malveillante. Lorsqu'elle reçoit la configuration JSON du C&C, l'application infectée procède au téléchargement de la charge utile depuis l'emplacement reçu pour ensuite l'exécuter.

« Dans certaines applications, nous avons observé que pour récupérer la charge utile finale, l'application Google Play infectée utilise une charge utile. Dans ce cas, l'URL de la charge utile de l'application Google Play infectée est codée dans le code lui-même, crypté selon la norme AES (Advanced Encryption Standard). Lors de l'infection, contrairement au scénario 1, elle télécharge la charge utile de la mémoire tampon plutôt qu'une charge utile finale », a-t-il poursuivi concernant le deuxième scénario d’attaque du virus. Il s’agit d’un téléchargement en une étape.

Les équipes de recherche de Zscaler ont également identifié deux variantes de la charge utile, à savoir un paquet Android (APK) ou un fichier exécutable pour Dalvik (.dex).

En ce qui concerne la charge utile de l'APK, elle permet de récupérer l'URL finale de la charge utile du code pour ensuite procéder à son téléchargement. Ce n'est pas tout, à part le téléchargement de la charge utile, son rôle consiste aussi à exécuter la charge utile finale.

« Dans le cas du téléchargement, nous avons également vu différentes tactiques utilisées par l'auteur du malware pour cacher l'URL finale. Nous avons vu des cas où la charge utile finale est masquée par l'AES et, dans certains cas, nous avons vu qu'une simple opération de décalage était utilisée pour masquer l'URL de la charge utile finale », a-t-il indiqué.

Les différentes figures sur le blog de Zscaler montrent que le programme télécharge, au moment de l'exécution, la charge utile de la dernière étape, qui n'est rien d'autre que le malware Joker de base. Par conséquent, ce dernier effectue toutes les activités de contamination, des escroqueries à l'abonnement jusqu'aux SMS surtaxés aux activités des logiciels espions.

Le dernier scénario identifié par Zscaler est tout à fait différent des deux autres cas, car il s'agit d'un téléchargement en deux étapes.

« Dans certains groupes d'applications infectées de Google Play Store, nous avons vu des téléchargements en deux étapes utilisées pour récupérer la charge utile finale. Ici, l'application infectée de Google Play télécharge la charge utile de la première étape, qui télécharge la charge utile de la deuxième étape, qui charge finalement la charge utile du Joker final », a souligné Gandhi viral à propos du troisième scénario.

Comme il s'agit d'un téléchargement en deux étapes, l'application infectée commence par contacter le serveur C&C en vue de connaître l'URL de la charge utile de la première étape. Cette dernière cache l'URL dans l'en-tête de l'emplacement de la réponse. Lorsque l'application infectée contamine aussi l'appareil, elle peut télécharger ensuite la première étape de la charge utile à partir de l'URL reçue du C&C dans l'en-tête de la réponse. Le but de cette charge utile est de télécharger simplement une autre charge utile, mais qui est néanmoins autre que la charge utile finale.

Au final, Zscaler n'a pas manqué de mettre en garde les utilisateurs des applications Android en laissant quelques recommandations sur son blog.

« Nous vous recommandons de porter une attention particulière à la liste des autorisations des applications que vous installez sur votre appareil Android. Faites toujours attention aux autorisations risquées liées aux SMS, aux journaux d'appels, aux contacts, etc. La lecture des commentaires ou critiques sur la page de l'application permet également d'identifier les applications compromises », a conclu Viral Gandhi.

Source : Zscaler

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Un milliard d'appareils Android sont vulnérables aux attaques de pirates informatiques, car ne recevant plus de mise à jour de sécurité depuis un mois
Google Play Store abritait 56 applications installées dans plus de 1,7 millions d'appareils et infectées par le malware Tekya, qui n'a pas pu être détecté par VirusTotal et Google Play Protect
Une vulnérabilité affectant des millions de téléphones Android est activement exploitée par des malware, leur permettant de se faire passer pour des applications déjà installées
CamScanner, une application téléchargée plus de 100 millions de fois sur Google Play Store, exécute du code malveillant sur les smartphones, selon les chercheurs de Kaspersky
Google avertit que des dizaines de millions de téléphones Android sont préchargés avec des logiciels malveillants dangereux, plus de 200 fabricants d'appareils ont été mis à rude épreuve

Une erreur dans cette actualité ? Signalez-le nous !