Les utilisateurs d’Android ont dernièrement rencontré un sérieux problème sur le Google Play Store, mettant en danger des millions de personnes dans le monde, ce qui soulève des inquiétudes similaires à une fuite de données. Plus de 300 applications Android ont été repérées comme étant malveillantes, mettant en danger des millions de personnes dans le monde. Ces applis, téléchargées plus de 60 millions de fois, font douter de la sécurité des données personnelles et bancaires de chacun.
Découverte et retrait par Google
Les spécialistes en cybersécurité de Bitdefender ont joué un rôle déterminant dans la mise au jour de ces menaces. Ils ont repéré 331 applications frauduleuses, parmi lesquelles une quinzaine était encore accessible au téléchargement récemment. Face à cette situation préoccupante, Google est intervenu rapidement pour retirer ces logiciels nuisibles du Play Store.
Fonctionnalités trompeuses et techniques d’infiltration
Par exemple, certaines pouvaient démarrer sans aucune action de l’utilisateur, même sous Android 13, grâce à des méthodes ingénieuses comme la disparition des icônes de lancement ou l’usage détourné du « LEANBACK_LAUNCHER », un paramètre normalement utilisé pour les téléviseurs Android, illustrant des techniques d’espionnage numérique. Le virus ne s’activait pas dès la validation sur le Play Store, mais lors d’actualisations ultérieures.
Ces applis pouvaient lancer des pubs intempestives et en plein écran, et pire, elles tentaient de récupérer des identifiants de connexion à divers services en ligne et même des infos bancaires via des techniques de escroqueries mobiles.
Répartition géographique et conseils
Les signalements de ces applis proviennent surtout du Brésil, de la Turquie, du Mexique, de la Corée du Sud et des États-Unis. Néanmoins, il est aussi possible que certains utilisateurs en Europe aient été touchés. Pour aider tout le monde à vérifier si leur appareil est concerné, Bitdefender a publié une liste complète des applications incriminées sur un dossier Github. Il est vivement conseillé à ceux qui ont téléchargé l’une de ces applis de les supprimer sans attendre.
Méthodes avancées et persistance de l’attaque
Les créateurs de ces applications malveillantes utilisaient plusieurs techniques pointues pour contourner les analyses et rester sur les appareils infectés. Ils se servaient notamment du chiffrement AES et Base64 pour sécuriser leurs communications C2 (Command and Control, c’est-à-dire le canal de commande entre l’attaquant et le logiciel malveillant). En plus, ils recouraient à l’obfuscation avec l’outil Armariris afin de rendre leur code moins détectable pour les antivirus, soulignant ainsi les défis persistants en matière de sécurité des données.
Par ailleurs, ces méthodes permettaient aux applis de lancer des publicités sans que l’utilisateur ne fasse quoi que ce soit. Pour cela, ils utilisaient « DisplayManager.createVirtualDisplay » pour créer un affichage virtuel, et exploitaient des fournisseurs de contenu ainsi que des services factices pour rester persistants sur l’appareil.
