Recherche
  Home Actualités Petites annonces Offres d’emploi Appels d’offres Publireportages C'est vous qui le dites Medias & tendances Immobilier Recherche Contact



Infos congo - Actualités Congo - 08 Mars 2024
mediacongo
Retour

MC Geek !

Ce malware s'installe sous Android et clique à votre place sur les publicités

2020-02-08
08.02.2020
2020-02-08
Ajouter aux favoris
http://www.mediacongo.net/dpics/filesmanager/actualite/2020_actu/02-fevrier/03-09/smartphone_android_annonces_20_000.jpg -

Trend Micro a découvert que neuf applications du Play Store intégraient un cheval de Troie qui installe un adware à l'insu du possesseur d'un smartphone Android. Le virus prend ensuite la main sur le profil Facebook pour afficher des publicités et simuler des clics pour engranger de l'argent.

Imaginez que vous parcouriez votre profil Facebook avec votre smartphone et qu'il soit rempli de publicités, qui ne cessent de se recharger comme si vous aviez cliqué dessus. C'est le signe qu'un malware est installé sur votre téléphone, et sa fonction est justement de prendre le contrôle de votre compte Facebook pour afficher des publicités, et donc simuler des clics pour gagner de l'argent.

Il s'agit d'un adware plus exactement et Trend Micro a découvert que neuf applications présentes sur le Play Store en étaient infectées. Au total, cela représente plus de 470.000 installations avec essentiellement des applications censées améliorer les performances du smartphone comme Super Clean-Phone Booster. On trouve aussi des jeux, ainsi qu'un VPN. Il s'agit donc essentiellement de catégories très populaires.


Si vous avez installé l'une de ses applications, votre smartphone est infecté © Futura, Trend Micro

Des applications qui incitent à enlever la protection d'Android

Après leur installation, ils invitent l'utilisateur à désactiver Play Protect et à autoriser l'accès à certaines fonctions d'Android. C'est là que se situe le piège, puisque ça va lui permettre d'installer un cheval de Troie à l'insu de l'utilisateur, et Trend Micro a comptabilisé 3.000 variantes de malwares ! Leur rôle reste le même : se connecter à des serveurs distants pour polluer l'appareil de publicités. Mais l'éditeur de solutions de sécurité a aussi remarqué que ce même malware était capable de récupérer l'email du possesseur du smartphone, et de lui envoyer des messages de type phishing l'invitant à installer une application.

Les pays les plus touchés sont le Japon, Taiwan, les États-Unis, l'Inde et la Thaïlande. Curieusement, il n'y a pas la Chine, et la raison est simple selon Trend Micro : les hackers n'attaquent pas leur propre pays pour éviter d'être appréhendés par les autorités locales. Du côté de Google, on a supprimé les neuf applications vérolées, et on répète qu'il ne faut jamais désactiver Play Protect et que tout message incitant l'utilisateur à le faire est un piège.

Un malware Android enregistre ce qui s'affiche sur votre écran

Le virus BianLian est de retour sur le Play Store et il combine six modules pour voler un maximum de données confidentielles, dont les coordonnées bancaires. Il est notamment capable d'enregistrer à distance tout ce qui s'affiche sur l'écran.

L'expert en cybersécurité Fortinet a publié un billet détaillant une nouvelle attaque contre les smartphones et tablettes utilisant le système Android, qui vise à subtiliser notamment les informations d'applications bancaires, mais également d'autres données sensibles.

Le malware est adepte du camouflage, raison pour laquelle les chercheurs l'ont baptisé BianLian, du nom de l'art vivant chinois où l'artiste change régulièrement de masque de manière imperceptible. Il avait déjà été détecté en 2018, mais avait un fonctionnement un peu différent. Il ne servait alors pas à espionner les utilisateurs, mais à installer d'autres malwares. Son développeur s'était donc concentré sur le camouflage, l'intégrant dans des applications parfaitement fonctionnelles afin d'obtenir de bonnes notes sur le Play Store de Google et inciter les utilisateurs à les garder le plus longtemps possible.

Un malware qui a beaucoup évolué

À l'époque, BianLian s'était fait connaître notamment comme le système d'installation du malware Anubis, qui visait à voler les identifiants bancaires. Cette fois, l'application fonctionne seule et intègre différentes fonctions pour voler les données des victimes. Il commence par cacher son icône et demande constamment l'autorisation d'utiliser certaines fonctionnalités des services d'accessibilité d'Android jusqu'à ce que l'utilisateur accepte.

Une fois l'accès obtenu, le malware dispose de six modules pour tenter de voler des informations sensibles. Un premier module texte, pour consulter le contenu des SMS et même en envoyer. Un second module sert à passer des appels et utiliser des codes USSD, des commandes propres à chaque opérateur qui permettent d'obtenir des informations, comme le crédit d'appel restant, ou activer des options. Un troisième module ajoute des éléments par-dessus d'autres applications. Par exemple, au moment de saisir ses identifiants sur son application bancaire, le malware remplace les champs pour les identifiants par de faux champs afin d'en voler le contenu.


Les applications vérolées vous demandent d'accéder à certaines fonctions confidentielles, et si vous cliquez sur OK sans vérifier, le mal est fait. © Fortinet

BianLian envoie même des captures d’écran

Ce sont deux autres modules qui ont le plus intrigué les chercheurs. Un module Socks5 crée un serveur SSH sur l'appareil, ce qui permet des communications sécurisées et difficiles à détecter avec le serveur de commande du malware. Un autre module permet d'enregistrer l'écran. Cette fonction peut même être déclenchée à distance et déverrouiller l'appareil. Enfin, un dernier module, plus simple, se contente de verrouiller l'écran pour empêcher l'utilisateur d'accéder à l'appareil une fois le vol des données terminé.

D'après Fortinet, BianLian serait encore en développement actif, ce qui laisse craindre de nouvelles évolutions encore plus problématiques. En attendant, les antivirus mobiles (notamment celui de Fortinet...) devraient être en mesure de le détecter, sans oublier de faire attention à ne pas accorder d’autorisations à une application sans en comprendre les raisons.


futura-sciences / MCP, via mediacongo.net
C’est vous qui le dites :
8452 suivent la conversation

Faites connaissance avec votre « Code MediaCongo »

Le code à 7 caractères (précédé de « @ ») à côté du Nom est le Code MediaCongo de l’utilisateur. Par exemple « Jeanne243 @AB25CDF ». Ce code est unique à chaque utilisateur. Il permet de différencier les utilisateurs.

Poster un commentaire, réagir ?

Les commentaires et réactions sont postés librement, tout en respectant les conditions d’utilisation de la plateforme mediacongo.net. Vous pouvez cliquer sur 2 émojis au maximum.

Merci et excellente expérience sur mediacongo.net, première plateforme congolaise

MediaCongo – Support Utilisateurs


right
Article suivant Pourquoi Apple résiste à l'application d'une norme européenne unique pour les chargeurs de téléphone
left
Article précédent Vous pouvez maintenant composer un morceau de musique avec… Excel

Les plus commentés

Afrique Insécurité dans l'Est de la RDC : Kagame exige à Tshisekedi de revenir sur ses propos d'attaquer le Rwanda avant de le rencontrer !

25.03.2024, 33 commentaires

Politique Fervent Kabiliste jusqu'il y a peu, Henry Magie rejoint Nangaa et l'AFC dans la rébellion

28.03.2024, 12 commentaires

Afrique La compromission de Luanda : Kinshasa reconnaît les FDLR, Kigali se frotte les mains

25.03.2024, 8 commentaires

Politique Agression rwandaise : « Un jour d’une manière ou d’une autre, tout ceci s’arrêtera » (Félix Tshisekedi)

26.03.2024, 8 commentaires


Ils nous font confiance

Infos congo - Actualités Congo - confiance