Google Play Store Malware

Des chercheurs en cybersécurité ont découvert un nouveau compte-gouttes de logiciels malveillants contenu dans jusqu’à 9 applications Android distribuées via Google Play Store qui déploie un logiciel malveillant de deuxième étape capable d’obtenir un accès intrusif aux comptes financiers des victimes ainsi que le contrôle total de leurs appareils.

« Ce compte-gouttes, baptisé Clast82, utilise une série de techniques pour éviter la détection par la détection de Google Play Protect, termine la période d’évaluation avec succès et modifie la charge utile supprimée d’une charge non malveillante en AlienBot Banker et MRAT », chercheurs de Check Point Aviran Hazum, Bohdan Melnykov et Israel Wernik ont ​​déclaré dans un article publié aujourd’hui.

Les applications utilisées pour la campagne incluent Cake VPN, Pacific VPN, eVPN, BeatPlayer, QR / Barcode Scanner MAX, Music Player, tooltipnatorlibrary et QRecorder. Après que les résultats aient été signalés à Google le 28 janvier, les applications malveillantes ont été supprimées du Play Store le 9 février.

Les auteurs de logiciels malveillants ont eu recours à diverses méthodes pour contourner les mécanismes de vérification des app stores. Qu’il s’agisse d’utiliser le cryptage pour masquer les chaînes des moteurs d’analyse, de créer des versions malveillantes d’applications légitimes ou de créer de fausses critiques pour inciter les utilisateurs à télécharger les applications, les fraudeurs ont riposté aux tentatives de Google de sécuriser la plate-forme en développant constamment de nouvelles techniques pour se faufiler. le net.

D’autres méthodes telles que la gestion des versions, qui consistent à télécharger une version propre de l’application sur le Play Store pour renforcer la confiance entre les utilisateurs, puis à ajouter sournoisement du code indésirable à un stade ultérieur via des mises à jour de l’application, et à incorporer des retards temporels pour déclencher fonctionnalité malveillante pour tenter d’échapper à la détection par Google.

Publicité
Vpn App

Clast82 n’est pas différent en ce sens qu’il utilise Firebase comme plate-forme de communication de commande et de contrôle (C2) et utilise GitHub pour télécharger les charges utiles malveillantes, en plus de tirer parti des applications Android open source légitimes et connues pour insérer la fonctionnalité Dropper. .

Hacking Android

« Pour chaque application, l’acteur a créé un nouvel utilisateur développeur pour le Google Play Store, ainsi qu’un référentiel sur le compte GitHub de l’acteur, permettant ainsi à l’acteur de distribuer différentes charges utiles aux appareils infectés par chaque application malveillante », ont noté les chercheurs. .

Par exemple, l’application malveillante Cake VPN s’est avérée être basée sur un version open-source de son homonyme créé par un développeur basé à Dhaka sous le nom de Syed Ashraf Ullah. Mais une fois l’application lancée, elle tire parti de la base de données en temps réel Firebase pour récupérer le chemin de la charge utile à partir de GitHub, qui est ensuite installé sur l’appareil cible.

Dans le cas où l’option d’installation d’applications à partir de sources inconnues a été désactivée, Clast82 exhorte à plusieurs reprises l’utilisateur toutes les cinq secondes avec une fausse invite « Services Google Play » pour activer l’autorisation, l’utilisant finalement pour installer AlienBot, un MaaS bancaire Android ( malware-as-a-service) capable de voler des informations d’identification et des codes d’authentification à deux facteurs à partir d’applications financières.

Malware Apps

Le mois dernier, une scanner de codes à barres l’application avec plus de 10 millions d’installations est devenue voyou avec une seule mise à jour après son changement de propriétaire. Dans un développement similaire, une extension Chrome du nom de The Great Suspender a été désactivée suite à des rapports selon lesquels le module complémentaire ajoutait furtivement des fonctionnalités qui pourraient être exploitées pour exécuter du code arbitraire à partir d’un serveur distant.

« Le pirate informatique derrière Clast82 a pu contourner les protections de Google Play en utilisant une méthodologie créative, mais préoccupante », a déclaré Hazum. « Avec une simple manipulation de ressources tierces facilement disponibles – comme un compte GitHub ou un compte FireBase – le pirate a pu exploiter des ressources facilement disponibles pour contourner les protections de Google Play Store. Les victimes pensaient télécharger une application utilitaire inoffensive depuis le marché officiel d’Android, mais ce qu’ils obtenaient vraiment, c’était un cheval de Troie dangereux qui venait directement pour leurs comptes financiers. « 

Rate this post
Publicité
Article précédentLa Russie poursuit Google, Facebook et Twitter pour ne pas avoir supprimé le contenu de la protestation – Ifax
Article suivantBilan: tais-toi! Dark Power 12 (850 W) – Bloc d’alimentation
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici