Google Play : découverte de nouvelles applications Android contenant un cheval de Troie bancaire
Trend Micro explique leur mode opératoire

Android est le système d’exploitation le plus utilisé sur mobile. Aussi, comme Windows sur PC, il est la cible préférée des cybercriminels qui utilisent des méthodes assez rusées pour tromper la vigilance des utilisateurs. L’une des astuces utilisées par les cybercriminels consiste à dissimuler des logiciels malveillants sous la forme d'applications plus ou moins attrayantes. On apprenait encore il y a quelques jours que Google avait dû supprimer 85 applications publicitaires du Play Store, après qu'elles aient été téléchargées 9 millions de fois. Ces applications ne faisaient rien de vraiment méchant si ce n'était d'énerver les utilisateurs avec des publicités abusives, mais il peut arriver que certaines applications fassent bien pire que ça.

Des chercheurs de Trend Micro ont trouvé deux applications Android malveillantes sur Google Play Store qui ne se déclenche que lorsque le téléphone ciblé est en mouvement. Les deux applications ont été déguisées en outils utiles, simplement nommés Currency Converter et BatterySaverMobi. Celle nommée BatterySaverMobi a enregistré plus de 5000 téléchargements avant d'être supprimée et a obtenu un score de 4,5 étoiles sur 73 avis, mais les chercheurs pensent que ces évaluations peuvent avoir été frauduleuses.

Nom : Capture1.PNG
Affichages : 15122
Taille : 63,1 Ko

Après examen minutieux, les chercheurs ont constaté que ces applications malveillantes déploient un cheval de Troie bancaire connu sous le nom d'Anubis. Ils en sont arrivés à cette conclusion en analysant le mode de déploiement de la charge utile de ces applications. Il ressort de cette analyse que le code source de ces applications est étonnamment similaire aux échantillons Anubis connus et qu'il se connecte à un serveur de commande et de contrôle avec le domaine aserogeege.space, qui est également lié à Anubis.

Le malware Anubis se fait passer pour une application bénigne, invite l’utilisateur à lui octroyer des droits d’accessibilité et tente également de voler les informations de compte. Il a un enregistreur de frappe intégré qui peut simplement voler les informations d'identification du compte d'un utilisateur en enregistrant les frappes au clavier. Il peut également prendre une capture d'écran de l'écran de l'appareil infecté, ce qui constitue un autre moyen d'obtenir les informations d'identification de la victime. Les données recueillies par les chercheurs montrent que la dernière version d'Anubis a été distribuée dans 93 pays différents et cible les utilisateurs de 377 variantes d'applications financières. Ils ont pu constater que si Anubis s'exécute avec succès, un attaquant aurait accès aux listes de contacts ainsi qu'à la localisation de l'appareil infecté. Il aurait également la possibilité d'enregistrer de l'audio, d'envoyer des SMS, de passer des appels et de modifier le stockage externe.

Nom : Capture2.PNG
Affichages : 14242
Taille : 39,1 Ko

Ces applications sont intelligemment conçues pour masquer leurs activités et réduire ainsi le risque d'être détectées. Lorsqu'un utilisateur se déplace, son appareil génère généralement une certaine quantité de données de capteur de mouvement. Le développeur de programmes malveillants suppose que la sandbox utilisée pour analyser les logiciels malveillants est un émulateur ne comportant aucun capteur de mouvement et ne créera donc pas ce type de données. Si tel est le cas, le développeur peut déterminer si l'application s'exécute dans un environnement sandbox en vérifiant simplement les données du capteur. L'application malveillante surveille les étapes de l'utilisateur via le capteur de mouvement du périphérique. Si elle détecte que l'utilisateur et le périphérique ne se déplacent pas c'est-à-dire s'il manque de données de capteur, alors le code malveillant ne s'exécutera pas.

Si au contraire l'application détecte que l'utilisateur et le périphérique se déplacent c'est-à-dire qu'elle a trouvé des données de capteur, le code malveillant s'exécute, l'application tentera alors d'inciter les utilisateurs à télécharger et à installer sa charge utile APK en prétextant qu'il s'agit d'une mise à jour du système.

Nom : Capture3.png
Affichages : 13889
Taille : 51,4 Ko

Les applications malveillantes, on en retrouve de nouvelles très régulièrement sur le Play Store. Il serait peut-être temps pour Google de sérieusement faire quelque chose à ce sujet étant donné le danger que représentent ces malwares. En attendant que des mesures qui permettraient d'empêcher que ce genre d'applications se retrouvent sur le Store soient prises, il est conseillé aux utilisateurs de se méfier de toute application demandant des informations d'identification bancaires en particulier et s'assurer qu'elles sont légitimement liées à leurs banques.

Source : Trend Micro

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Google supprime 85 applications publicitaires du Play Store, après qu'elles aient été téléchargées 9 millions de fois
Avast découvre des adwares pré-installés sur de nombreux smartphones Android d'entrée de gamme, la France figure parmi les pays les plus touchés
Un Trojan Android vole de l'argent de comptes PayPal même avec l'activation de l'authentification à deux facteurs, d'après des chercheurs