Une nouvelle souche de malware Android nommée Goldoson a été détecté dans le Google Play Store officiel couvrant plus de 60 applications légitimes qui ont collectivement plus de 100 millions de téléchargements.
Huit millions d’installations supplémentaires ont été suivies via ONE store, l’une des principales vitrines d’applications tierces en Corée du Sud.
Le composant malveillant fait partie d’une bibliothèque de logiciels tiers utilisée par les applications en question et est capable de collecter des informations sur les applications installées, les appareils connectés au Wi-Fi et au Bluetooth et les emplacements GPS.
« De plus, la bibliothèque est armée de la fonctionnalité permettant d’effectuer des fraudes publicitaires en cliquant sur des publicités en arrière-plan sans le consentement de l’utilisateur », a déclaré SangRyol Ryu, chercheur en sécurité chez McAfee. a dit dans un rapport publié la semaine dernière.
De plus, il inclut la possibilité de charger furtivement des pages Web, une fonctionnalité qui pourrait être utilisée de manière abusive pour charger des publicités à des fins lucratives. Il y parvient en chargeant du code HTML dans un fichier caché WebView et générer du trafic vers les URL.
Suite à une divulgation responsable à Google, 36 des 63 applications incriminées ont été retirées du Google Play Store. Les 27 applications restantes ont été mises à jour pour supprimer la bibliothèque malveillante.
Certaines des principales applications incluent –
- L.POINT avec L.PAY
- Balayez le casse-briques (supprimé)
- Dépenses et budget du gestionnaire de fonds
- TMAP – 대리,주차,전기차 충전,킥보드를 티맵에서 !
- 롯데시네마
- 지니뮤직 – génie
- 컬쳐랜드[컬쳐캐쉬]
- Joueur GOM
- 메가박스 (supprimé), et
- Score en direct, score en temps réel
Les résultats soulignent la nécessité pour les développeurs d’applications d’être transparents sur les dépendances utilisées dans leurs logiciels, sans parler de prendre des mesures adéquates pour protéger les informations des utilisateurs contre de tels abus.
« Les attaquants deviennent de plus en plus sophistiqués dans leurs tentatives d’infecter des applications par ailleurs légitimes sur toutes les plateformes », a déclaré Kern Smith, vice-président de l’ingénierie des ventes pour les Amériques chez Zimperium.
« L’utilisation de SDK et de code tiers, et leur potentiel d’introduction de code malveillant dans des applications par ailleurs légitimes, ne font que croître à mesure que les attaquants commencent à cibler la chaîne d’approvisionnement logicielle pour obtenir la plus grande empreinte possible. »
Maîtrisez l’art de la collecte de renseignements sur le dark web
Apprenez l’art d’extraire des informations sur les menaces du dark web – Rejoignez ce webinaire dirigé par des experts !
Le développement intervient alors que Cyble a dévoilé un nouveau cheval de Troie bancaire Android surnommé Caméléon qui est actif depuis janvier 2023 et cible les utilisateurs en Australie et en Pologne.
Le cheval de Troie n’est pas différent des autres logiciels malveillants bancaires repérés dans la nature en raison de son abus des services d’accessibilité d’Android pour récolter les informations d’identification et les cookies, enregistrer les frappes au clavier, empêcher sa désinstallation et effectuer d’autres activités néfastes.
Il est également conçu pour afficher des superpositions malveillantes au-dessus d’une liste spécifique d’applications, intercepter des messages SMS et comprend même une fonctionnalité inutilisée qui lui permet de télécharger et d’exécuter une autre charge utile.
Chameleon, fidèle à son nom, a un penchant pour l’évasion en incorporant des contrôles anti-émulation pour détecter si l’appareil est enraciné ou s’il est exécuté dans un environnement de débogage, et si c’est le cas, se terminer.
Pour atténuer ces menaces, il est recommandé aux utilisateurs de télécharger uniquement des applications à partir de sources fiables, d’examiner les autorisations des applications, d’utiliser des mots de passe forts, d’activer l’authentification multifacteur et de faire preuve de prudence lors de la réception de SMS ou d’e-mails d’expéditeurs inconnus.