Il y a encore quelques années, il était fréquent de conseiller aux utilisateurs de smartphones Android de ne surtout pas télécharger d’applications et autres APK hors du Google Play Store. Un conseil tout à fait logique : Google scanne toutes les applications de son magasin d’applications et les APK que l’on trouve sur les magasins et sites alternatifs sont souvent criblés de malware.
Le problème, c’est que les pirates parviennent désormais régulièrement à tromper les défenses de Google. La dernière découverte en date étant le redoutable trojan bancaire Xenomorph, qui se cachait dans deux applications, Todo: Day Manager (com.todo.daymanager) et 経費キーパー (com.setprice.expenses). Les deux applications ont été depuis retirées du Play Store.
Des malware sont parfois aussi détectés sur le Play Store
Mais un article de Hacher News explique comment ces applications vérolées ont réussi à tromper la vigilance de Google Play Protect, l’antivirus du Play Store. L’astuce des pirates est justement de ne pas publier initialement de malware sur la plateforme. Ils téléversent à la place une application qui agit comme ce que les pirates appellent un “dropper”.
Autrement dit une application en premier lieu inoffensive, mais qui reste capable de télécharger et d’installer du code malicieux par la suite. Une fois que l’utilisateur a téléchargé l’application, celle-ci envoie une confirmation aux développeurs via la base de données Firebase. Ces derniers (ou un programme automatisant cette tâche) valident alors le début de la 2e phase.
L’application télécharge alors en tâche de fond le malware bancaire Xenomorph via des extraits du programme en libre accès sur Github. Une manière de brouiller les pistes et de compliquer la recherche des pirates. Cette approche a également l’avantage de permettre à l’application de personnaliser l’attaque en téléchargeant le code le plus adapté à la plateforme.
Les applications vérolées adoptent de plus en plus la technique des “droppers”
Une fois installé Xenomorph récupère l’adresse du centre de contrôle et de commandes des pirates caché dans un intitulé de conversations de groupe sur Telegram. Les pirates peuvent alors envoyer des commandes au smartphone – et ont donc réussi à infecter potentiellement des dizaines milliers de machines via une application “dropper” mise en ligne sur le Play Store, au nez et à la barbe de Google.
Xenomorph est un trojan bancaire à éviter. En effet, il abuse des permissions d’accessibilité pour voler les données de connexion des applications bancaires. Il est entre autres capable d’intercepter les SMS et notifications pour obtenir les codes à usage unique dans le cadre de l’authentification double facteurs.
A ce stade, se protéger seul contre ce genre d’attaques est quasiment mission impossible. Bien sûr on ne peut que recommander de lire avec attention chaque fiche avant d’installer une application et de ne pas accepter trop d’autorisations lors de l’installation. Mais ces précautions sont elles-mêmes de moins en moins efficaces.
Pour protéger votre smartphone Android et vos données bancaires on vous recommande donc d’installer un antivirus. Plusieurs éditeurs comme Bitdefender, Norton 360 ou McAfee proposent une application antivirus efficace sur Android pour détecter les menaces en temps réel ou autres malware et les éradiquer.
En savoir plus sur Bitdefender
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
La réponse est non !
Tu as eu peur ? Achète! Achète!