MC Geek !
Trend Micro a découvert que neuf applications du Play Store intégraient un cheval de Troie qui installe un adware à l'insu du possesseur d'un smartphone Android. Le virus prend ensuite la main sur le profil Facebook pour afficher des publicités et simuler des clics pour engranger de l'argent.
Imaginez que vous parcouriez votre profil Facebook avec votre smartphone et qu'il soit rempli de publicités, qui ne cessent de se recharger comme si vous aviez cliqué dessus. C'est le signe qu'un malware est installé sur votre téléphone, et sa fonction est justement de prendre le contrôle de votre compte Facebook pour afficher des publicités, et donc simuler des clics pour gagner de l'argent.
Il s'agit d'un adware plus exactement et Trend Micro a découvert que neuf applications présentes sur le Play Store en étaient infectées. Au total, cela représente plus de 470.000 installations avec essentiellement des applications censées améliorer les performances du smartphone comme Super Clean-Phone Booster. On trouve aussi des jeux, ainsi qu'un VPN. Il s'agit donc essentiellement de catégories très populaires.
Si vous avez installé l'une de ses applications, votre smartphone est infecté © Futura, Trend Micro
Des applications qui incitent à enlever la protection d'Android
Après leur installation, ils invitent l'utilisateur à désactiver Play Protect et à autoriser l'accès à certaines fonctions d'Android. C'est là que se situe le piège, puisque ça va lui permettre d'installer un cheval de Troie à l'insu de l'utilisateur, et Trend Micro a comptabilisé 3.000 variantes de malwares ! Leur rôle reste le même : se connecter à des serveurs distants pour polluer l'appareil de publicités. Mais l'éditeur de solutions de sécurité a aussi remarqué que ce même malware était capable de récupérer l'email du possesseur du smartphone, et de lui envoyer des messages de type phishing l'invitant à installer une application.
Les pays les plus touchés sont le Japon, Taiwan, les États-Unis, l'Inde et la Thaïlande. Curieusement, il n'y a pas la Chine, et la raison est simple selon Trend Micro : les hackers n'attaquent pas leur propre pays pour éviter d'être appréhendés par les autorités locales. Du côté de Google, on a supprimé les neuf applications vérolées, et on répète qu'il ne faut jamais désactiver Play Protect et que tout message incitant l'utilisateur à le faire est un piège.
Un malware Android enregistre ce qui s'affiche sur votre écran
Le virus BianLian est de retour sur le Play Store et il combine six modules pour voler un maximum de données confidentielles, dont les coordonnées bancaires. Il est notamment capable d'enregistrer à distance tout ce qui s'affiche sur l'écran.
L'expert en cybersécurité Fortinet a publié un billet détaillant une nouvelle attaque contre les smartphones et tablettes utilisant le système Android, qui vise à subtiliser notamment les informations d'applications bancaires, mais également d'autres données sensibles.
Le malware est adepte du camouflage, raison pour laquelle les chercheurs l'ont baptisé BianLian, du nom de l'art vivant chinois où l'artiste change régulièrement de masque de manière imperceptible. Il avait déjà été détecté en 2018, mais avait un fonctionnement un peu différent. Il ne servait alors pas à espionner les utilisateurs, mais à installer d'autres malwares. Son développeur s'était donc concentré sur le camouflage, l'intégrant dans des applications parfaitement fonctionnelles afin d'obtenir de bonnes notes sur le Play Store de Google et inciter les utilisateurs à les garder le plus longtemps possible.
Un malware qui a beaucoup évolué
À l'époque, BianLian s'était fait connaître notamment comme le système d'installation du malware Anubis, qui visait à voler les identifiants bancaires. Cette fois, l'application fonctionne seule et intègre différentes fonctions pour voler les données des victimes. Il commence par cacher son icône et demande constamment l'autorisation d'utiliser certaines fonctionnalités des services d'accessibilité d'Android jusqu'à ce que l'utilisateur accepte.
Une fois l'accès obtenu, le malware dispose de six modules pour tenter de voler des informations sensibles. Un premier module texte, pour consulter le contenu des SMS et même en envoyer. Un second module sert à passer des appels et utiliser des codes USSD, des commandes propres à chaque opérateur qui permettent d'obtenir des informations, comme le crédit d'appel restant, ou activer des options. Un troisième module ajoute des éléments par-dessus d'autres applications. Par exemple, au moment de saisir ses identifiants sur son application bancaire, le malware remplace les champs pour les identifiants par de faux champs afin d'en voler le contenu.
Les applications vérolées vous demandent d'accéder à certaines fonctions confidentielles, et si vous cliquez sur OK sans vérifier, le mal est fait. © Fortinet
BianLian envoie même des captures d’écran
Ce sont deux autres modules qui ont le plus intrigué les chercheurs. Un module Socks5 crée un serveur SSH sur l'appareil, ce qui permet des communications sécurisées et difficiles à détecter avec le serveur de commande du malware. Un autre module permet d'enregistrer l'écran. Cette fonction peut même être déclenchée à distance et déverrouiller l'appareil. Enfin, un dernier module, plus simple, se contente de verrouiller l'écran pour empêcher l'utilisateur d'accéder à l'appareil une fois le vol des données terminé.
D'après Fortinet, BianLian serait encore en développement actif, ce qui laisse craindre de nouvelles évolutions encore plus problématiques. En attendant, les antivirus mobiles (notamment celui de Fortinet...) devraient être en mesure de le détecter, sans oublier de faire attention à ne pas accorder d’autorisations à une application sans en comprendre les raisons.
Le code à 7 caractères (précédé de « @ ») à côté du Nom est le Code MediaCongo de l’utilisateur. Par exemple « Jeanne243 @AB25CDF ». Ce code est unique à chaque utilisateur. Il permet de différencier les utilisateurs.
Les plus commentés
Afrique Insécurité dans l'Est de la RDC : Kagame exige à Tshisekedi de revenir sur ses propos d'attaquer le Rwanda avant de le rencontrer !
25.03.2024, 33 commentairesPolitique Fervent Kabiliste jusqu'il y a peu, Henry Magie rejoint Nangaa et l'AFC dans la rébellion
28.03.2024, 12 commentairesAfrique La compromission de Luanda : Kinshasa reconnaît les FDLR, Kigali se frotte les mains
25.03.2024, 8 commentairesPolitique Agression rwandaise : « Un jour d’une manière ou d’une autre, tout ceci s’arrêtera » (Félix Tshisekedi)
26.03.2024, 8 commentaires
Ils nous font confiance