Comment des pirates ont forcé une application Android à voler des mots de passe qui ont obtenu 300 000 téléchargements

La société de cybersécurité ThreatFabric revient sur une campagne massive d’applications malveillantes, y compris des logiciels malveillants qui volent des mots de passe et d’autres données personnelles.

Un rapport de la société de cybersécurité ThreatFabric a révélé que plus de 300 000 utilisateurs d’Android ont installé des applications malveillantes pour voler leurs informations bancaires. Bien que les applications malveillantes aient été supprimées et désactivées par Google, les développeurs ont utilisé des méthodes uniques pour déployer des logiciels malveillants auprès des utilisateurs que tout le monde devrait connaître.

Les pirates ont utilisé plusieurs types de logiciels malveillants.

Le rapport ThreatFabric ne mentionne qu’un petit nombre de ces applications malveillantes, mais la liste comprend des scanners de code QR, des scanners PDF, des applications de suivi d’exercice et des applications de cryptographie. Contrairement à d’autres applications malveillantes qui annoncent faussement leurs fonctionnalités, la plupart des applications qui nous intéressent aujourd’hui fonctionnent parfaitement comme indiqué. En fait, tout se passait en arrière-plan, les applications volaient des mots de passe et de nombreuses autres données personnelles importantes.

Les chercheurs ont classé les applications en quatre principales « familles » en fonction des logiciels malveillants qu’elles utilisent :

• Anatsa : la plus grande des quatre familles, avec plus de 200 000 téléchargements au total, a utilisé le cheval de Troie bancaire Anatsa. Cela utilise des captures d’écran des fonctionnalités d’accessibilité d’Android pour voler des noms d’utilisateur, des mots de passe et d’autres données personnelles.
• Alien : la deuxième famille d’applications la plus téléchargée était Alien, avec plus de 95 000 appareils installés. Alien intercepte les codes d’authentification à deux facteurs, qui sont ensuite utilisés par les pirates pour accéder au compte bancaire de l’utilisateur.
• Hydra et Ermak : Les deux dernières familles sont les familles Hydra et Ermak, qui sont liées au groupe cybercriminel Brunnhilde. Le groupe a utilisé des logiciels malveillants pour accéder à distance à l’appareil d’un utilisateur et obtenir ses informations bancaires. Le rapport ThreatFabric indique qu’Hydra et Ermac ont plus de 15 000 téléchargements.

Comment ces familles de logiciels malveillants pourraient passer à travers les mesures de sécurité de Google

ThreatFabric a signalé ces applications à Google, qui les a rapidement supprimées de leur Play Store et les a désactivées sur les appareils sur lesquels elles étaient installées. Mais le vrai problème reste la façon dont les pirates ont réussi à cacher les logiciels malveillants dans les applications.

Habituellement, le Play Store intercepte et supprime les applications contenant du code malveillant. Cependant, dans les cas qui nous intéressent aujourd’hui, le malware n’était pas inclus dans les téléchargements initiaux, mais a été ajouté via une mise à jour que les utilisateurs devaient installer pour continuer à utiliser les applications. Avec cette méthode, les développeurs peuvent soumettre leurs applications sans déclencher les systèmes de découverte de Google. Et comme ces applications fonctionnaient parfaitement, comme on le prétend, les utilisateurs ne pouvaient guère se douter de quoi que ce soit. Cependant, il y avait plusieurs signes de mises à jour,

Comment protéger votre appareil Android contre les logiciels malveillants

Il y a un certain nombre de choses que vous pouvez faire si vous voulez protéger votre appareil et éviter d’y installer de tels logiciels malveillants. Tout d’abord, faites très attention aux autorisations demandées par l’application – non seulement la première fois que vous l’installez, mais chaque fois que vous la lancez ou la mettez à jour. Désinstallez l’application et signalez-la si elle demande quoi que ce soit de suspect ou d’inutile. Par exemple, il n’y a aucune raison pour qu’une application de lecture de code QR accède à vos services d’accessibilité.

De même, n’installez que les mises à jour directement depuis le Google Play Store. Si une application indique qu’elle a besoin d’une mise à jour flash mais qu’elle n’est pas disponible dans le Play Store, la mise à jour peut être illégale. Il en va de même pour les demandes de téléchargement de quoi que ce soit en dehors du Play Store. Il n’est sûr de télécharger et d’installer une application de cette manière que lorsque vous téléchargez vous-même le fichier APK à partir d’une source fiable telle que APK Mirror ou le forum XDA Dev. Et n’oubliez pas de vérifier l’application avant de la télécharger, même si elle est sur Google Play, car les pirates peuvent saper la légitimité de l’application avec de faux commentaires.

Bien que ces diverses habitudes puissent ne pas vous protéger complètement contre les logiciels malveillants potentiels, si elles sont combinées à d’autres pratiques de cybersécurité telles que les mots de passe à usage unique, un gestionnaire de mots de passe cryptés sécurisé, l’authentification à deux facteurs et les applications. Anti-malware et anti-virus sûr, vous serez bien protégé des pirates et de leurs applications malveillantes.