Cinq applications Android malveillantes qui semblent innocentes à première vue ont été découvertes sur le Google Play Store et sont utilisées pour voler des informations bancaires à des utilisateurs peu méfiants.
Selon un rapport de ThreatFabric (s’ouvre dans un nouvel onglet)ces applications malveillantes se font passer pour des trackers financiers et d’autres utilitaires comme des gestionnaires de fichiers pour inciter les victimes potentielles à les télécharger en premier lieu. Cependant, cela semble fonctionner car les cinq applications malveillantes découvertes par les chercheurs de l’entreprise ont été téléchargées plus de 100 000 fois combinées.
Même si Google analyse les applications soumises au Play Store à la recherche de logiciels malveillants et d’autres virus, les applications en question ont pu passer outre ses défenses car elles ne contiennent en fait aucun code malveillant. Au lieu de cela, ces applications sont connues sous le nom de compte-gouttes de logiciels malveillants puisqu’ils téléchargent leurs charges utiles malveillantes sur l’un des meilleurs téléphones Android après avoir été installé.
Dans le rapport de ThreatFabric, la société de détection des fraudes indique qu’il y a eu récemment une augmentation de l’utilisation des droppers de logiciels malveillants par les cybercriminels, car ils offrent un moyen plus simple d’infecter les appareils vulnérables avec une chance beaucoup plus faible d’être découverts.
Si l’une des applications répertoriées ci-dessous est installée sur votre smartphone ou votre tablette Android, vous devrez les supprimer manuellement immédiatement. Cependant, il vaut également la peine de jeter un coup d’œil aux recherches de Threat Fabric, car la société a également inclus une liste à la fin de son article de blog avec toutes les applications bancaires et portefeuilles cryptographiques ciblé par le logiciel malveillant que ces compte-gouttes laissent sur un appareil infecté.
- Code fiscal 2022 – 10 000 téléchargements
- Gestionnaire de fichiers Petit, Lite – 1 000 téléchargements
- Récupérer de l’audio, des images et des vidéos – 100 000 téléchargements
- Authentification Zetter – 10 000 téléchargements
- Suivi de mes finances – 1 000 téléchargements
Utiliser des droppers de logiciels malveillants pour propager des chevaux de Troie bancaires
L’application « Codice Fiscale 2022 » cible les utilisateurs italiens qui cherchent à calculer les paiements d’impôts, mais une fois installée sur l’appareil de l’utilisateur, elle supprime le cheval de Troie bancaire SharkBot. De même, l’application « File Manager, Small, Lite » dépose également ce même malware Android.
SharkBot a gagné en popularité au cours des derniers mois et il est utilisé par les cybercriminels pour voler les informations d’identification bancaires et autres des victimes en affichant de fausses superpositions lorsqu’elles tentent de se connecter. Selon ThreatFabric, ce cheval de Troie bancaire est capable de voler les noms d’utilisateur et les mots de passe de Barclays, Citi, Capital One, Wells Fargo, PayPal et d’autres applications bancaires, mais il peut également intercepter les codes 2FA envoyés par SMS, effectuer un enregistrement de frappe et prendre le contrôle à distance d’un appareil infecté. .
Les deux applications en question infectent les appareils des utilisateurs avec SharkBot en les invitant à installer une fausse mise à jour hébergée sur un site conçu pour ressembler au Play Store. Alors que l’examen de l’URL montrerait que la mise à jour est fausse, les nouvelles versions d’Android avertissent les utilisateurs lorsqu’une application demande à utiliser l’autorisation « REQUEST_INSTALL_PACKAGES » selon BipOrdinateur.
Les applications « Recover Audio, Images & Videos », « Zetter Authentication » et « My Finances Tracker » fonctionnent de la même manière, mais abandonnent le malware Vultur au lieu de SharkBot. Cependant, comme le premier, Vultur peut diffuser à distance le contenu de l’écran de votre smartphone et effectuer un enregistrement de frappe sur votre appareil. Toutes ces données sont renvoyées aux cybercriminels responsables et sont ensuite utilisées pour commettre une fraude.
Ces trois applications malveillantes affichent également une demande d’installation d’une fausse mise à jour déguisée en avis Play Store après avoir été chargée sur le téléphone d’une victime. Si un utilisateur installe cette fausse mise à jour, son smartphone est alors infecté par le malware Vultur.
Dans cette campagne cependant, les chercheurs de ThreatFabric ont repéré une nouvelle variante de Vultur qui peut également effectuer une journalisation de l’interface utilisateur et enregistrer les clics, les gestes et toutes les autres actions qu’une victime effectue sur son smartphone. En ce qui concerne les applications bancaires et les portefeuilles cryptographiques, ce malware cible crypto.com, Amex, Barclays, Coinbase, eToro, Robinhood, Cash App et de nombreux autres services financiers populaires.
Comment rester à l’abri des chevaux de Troie bancaires et autres logiciels malveillants
Lorsqu’il s’agit de rester à l’abri des applications malveillantes, votre meilleur pari est d’éviter de charger complètement les applications et de ne télécharger que de nouvelles applications à partir de magasins officiels tels que le Play Store, l’Amazon App Store ou le Samsung Galaxy App Store. Bien que cela ne fonctionne pas dans ce cas, c’est une bonne règle générale pour éviter que votre smartphone soit infecté par des logiciels malveillants.
En tant que tel, vous devez être très prudent lors de l’installation d’applications sur votre smartphone ou tablette Android. Avant d’installer une nouvelle application, vous devez d’abord déterminer si vous en avez vraiment besoin ou non. À partir de là, vous devriez lire les critiques et vérifier la note de l’application sur le Play Store, mais consulter des critiques externes (de préférence des critiques vidéo) est également une bonne idée, car les cybercriminels utilisent souvent fausses critiques pour rendre leurs mauvaises applications plus attrayantes.
Heureusement, les droppers de logiciels malveillants – comme les cinq applications malveillantes décrites ci-dessus – vous obligent souvent à installer une mise à jour après les avoir installées sur votre téléphone. Si une application essaie de le faire et que la mise à jour n’est pas fournie par Google via le Play Store, il s’agit d’un signal d’alarme majeur et vous devez supprimer l’application en question immédiatement.
En ce qui concerne la protection contre les logiciels malveillants, vous devez vous assurer que Google Play Protect est activé sur vos appareils Android car il recherche automatiquement les logiciels malveillants en arrière-plan. Pour une protection supplémentaire, vous voudrez également installer l’un des meilleures applications antivirus Android sur votre smartphone ou votre tablette.
Les ingénieurs de Google travaillent sans relâche pour débarrasser le Play Store des applications malveillantes. Cependant, comme ils ne contiennent aucun code malveillant, les droppers de malwares sont plus susceptibles de contourner les mesures de sécurité du géant de la recherche, c’est pourquoi vous devez toujours faire attention lorsque vous installez une nouvelle application sur vos appareils Android.