Des chercheurs ont découvert un programme contraignant malware aux applications Android légitimes.
Tel que rapporté par Le registre (s’ouvre dans un nouvel onglet)les analystes de la société de cybersécurité ThreatFabric ont découvert le service « Zombinder » alors qu’ils enquêtaient sur une autre campagne de propagation de logiciels malveillants utilisant le cheval de Troie bancaire ERMAC, un logiciel malveillant qui Tech Radar Pro a précédemment signalé sur.
Dans leurs rapport (s’ouvre dans un nouvel onglet)les chercheurs ont déclaré qu' »en enquêtant sur l’activité d’ERMAC, nos chercheurs ont repéré une campagne intéressante se faisant passer pour des demandes d’autorisation Wi-Fi. Elle a été distribuée via un faux site Web d’une page contenant seulement deux boutons ».
ERMAC et compte-gouttes
Ces boutons servaient de liens de téléchargement pour les versions Android des applications « fictives » développées par ERMAC, qui sont inutiles pour l’utilisateur final mais sont conçues pour enregistrer les frappes au clavier, ainsi que pour voler authentification à deux facteurs (2FA) codes, e-mail justificatifs d’identité et portefeuille de bitcoins phrases de départ, entre autres choses.
Cependant, alors que certaines des applications malveillantes disponibles sur la plate-forme sont probablement sous la responsabilité du développeur principal d’ERMAC, DukeEugene, l’équipe a également constaté que certaines des applications étaient déguisées en instances légitimes de l’application Instagram, ainsi que d’autres applications qui ont des listes sur la boutique Google Play.
Comme c’est souvent le cas avec les campagnes de logiciels malveillants, un « dropper » obtenu à partir du dark web est utilisé par les acteurs de la menace afin que leurs applications puissent échapper à la détection, dans ce cas, Zombinder. Les droppers installent ce qui est fonctionnellement une version propre de l’application, mais présentent ensuite aux utilisateurs une mise à jour qui contient ensuite le malware.
Il s’agit d’un système de livraison intelligent, en particulier avec les applications qui prétendent provenir de fournisseurs communs et « de confiance » comme Meta, car les utilisateurs sont plus susceptibles d’installer une mise à jour des développeurs d’applications qu’ils reconnaissent.
Ce service de compte-gouttes particulier a été annoncé en mars 2022 et, selon ThreatFabric, est déjà devenu populaire auprès d’un certain nombre d’acteurs de la menace.
Les attaques « dropper » sont largement rendues possibles en raison de la nature « ouverte » d’Android permettant aux utilisateurs de « charger » des applications obtenues à partir de référentiels autres que le Google Play Store, et même des développeurs d’applications eux-mêmes.
Bien que cet écosystème ouvert profite aux utilisateurs soucieux de la sécurité, les utilisateurs qui y voient uniquement un moyen de pirater des applications qui coûtent généralement de l’argent, par exemple, peuvent devenir des choix faciles pour les acteurs de la menace armés de chevaux de Troie bancaires, qui sont alors libres de voler des données, des informations d’identification et même l’argent d’utilisateurs innocents.