La société de cybersécurité ThreatFabric revient sur une vaste campagne d’applications malveillantes, incluant des malwares voleurs de mots de passe et autres données personnelles.
Un rapport de la société de cybersécurité ThreatFabric révélait que plus de 300 000 utilisateurs Android avaient installé des applications malveillantes chargées de dérober leurs informations bancaires. Bien que les applications incriminées aient été supprimées et désactivées par Google, les développeurs ont utilisé des méthodes uniques pour déployer le malware aux utilisateurs, des méthodes que tout le monde se doit de connaître.
Les hackers ont utilisé plusieurs types de malware
Le rapport de ThreatFabric ne mentionne qu’un petit nombre de ces applications malveillantes, mais la liste comprend notamment des scanners de QR Codes, des scanners de PDF, des applications de suivi d’activité physique et des applications pour les crypto. Contrairement à d’autres apps malveillantes qui font de la fausse publicité pour leurs fonctionnalités, la majorité des applications qui nous intéressent aujourd’hui fonctionnaient parfaitement comme indiqué. Tout se passait en vérité en arrière-plan, les applications volaient les mots de passe et quantité d’autres données personnelles importantes.
Les chercheurs ont classé les applications en quatre grandes “familles” selon les malwares utilisés :
- Anatsa : la plus grande des quatre familles, avec plus de 200 000 téléchargements combinés, utilisait un cheval de Troie pour la banque baptisé Anatsa. Celui-ci utilise des captures d’écran de fonctionnalités d’accessibilité d’Android pour voler des identifiants, mots de passe et autres données personnelles.
- Alien : la deuxième famille d’applications les plus téléchargées était Alien, installée sur plus de 95 000 appareils. Alien intercepte les codes d’authentification double facteur, que les hackers utilisent ensuite pour se connecter sur le compte en banque de l’utilisateur.
- Hydra et Ermac : les deux dernières familles sont celles de Hydra et Ermac, toutes deux en lien avec le groupe cybercriminel Brunhilda. Le groupe a utilisé le malware pour accéder à distance à l’appareil de l’utilisateur et mettre la main sur ses informations bancaires. Le rapport de ThreatFabric explique que Hydra et Ermac ont dépassé les 15 000 téléchargements.
Comment ces familles de malwares ont pu passer les mesures de sécurité de Google
ThreatFabric a signalé ces applications à Google, qui les a rapidement supprimées de son Play Store et désactivées sur les appareils sur lesquels elles étaient installées. Mais le véritable souci reste la manière dont les hackers ont pu dissimuler les malwares dans les applications.
Normalement, le Play Store intercepte et supprime les applications contenant du code malveillant. Dans les cas qui nous intéressent aujourd’hui, cependant, le malware n’était pas présentant dans les téléchargements initiaux, mais fut ajouté via une mise à jour que les utilisateurs ont dû installer pour continuer d’utiliser les applications. Avec cette méthode, les développeurs peuvent soumettre leurs applications sans déclencher les systèmes de détection de Google. Et dans la mesure où ces applications fonctionnaient parfaitement comme annoncé, les utilisateurs pouvaient difficilement se douter de quoi que ce soit. Cependant, il y avait bien quelques signes concernant les mises à jour, notamment parce qu’elles ont pu demander l’autorisation aux Services d’accessibilité ou forcer les utilisateurs à télécharger hors Play Store un logiciel additionnel.
Comment protéger son appareil Android des malwares
Il y a un certain nombre de choses à faire si vous voulez garder votre appareil en sécurité et éviter d’y installer de tels malwares. Tout d’abord, faites bien attention aux permissions qu’une application vous demande – pas uniquement au moment de la première installation, mais chaque fois que vous la lancez ou la mettez à jour -. Supprimez et signalez une application si celle-ci demande quoi que ce soit de suspect ou de non nécessaire. Il n’y a aucune raison qu’une app de scan de QR Code ait besoin d’accéder à vos services d’accessibilité, par exemple.
De la même manière, n’installer que des mises à jour depuis le Google Play Store directement. Si une application explique avoir besoin d’une soudaine mise à jour, mais qu’elle n’est pas présente sur le Play Store, cette mise à jour n’est peut-être pas légitime. Il en va de même pour les requêtes invitant à télécharger quoi que ce soit hors du Play Store. La seule fois où il est sûr de télécharger et installer ainsi une application, c’est lorsque vous téléchargez vous-même le fichier APK depuis une source de confiance, comme APK Mirror ou le forum XDA Dev. Et n’oubliez pas de vérifier l’application avant de la télécharger, même si elle est sur Google Play, dans la mesure où les hackers peuvent venir mettre à mal la légitimité d’une application avec de faux commentaires.
Bien que ces différentes habitudes ne puissent vous protéger totalement d’éventuels malwares, si vous les combinez avec d’autres pratiques de cybersécurité comme des mots de passe uniques protégés par un gestionnaire de mots de passe chiffrés, des authentifications à double facteur et des applications sûres anti-malware et antivirus, vous serez bien protégé(e) des hackers et leurs applications malveillantes.
Source link
