Un nouvel ensemble d’applications Android malveillantes a été surpris en se faisant passer pour des scanners de sécurité d’applications sur le Play Store officiel pour distribuer une porte dérobée capable de collecter des informations sensibles.

«Ces applications malveillantes incitent les utilisateurs à mettre à jour Chrome, WhatsApp ou un lecteur PDF, mais au lieu de mettre à jour l’application en question, ils prennent le contrôle total de l’appareil en abusant des services d’accessibilité», a déclaré la société de cybersécurité McAfee mentionné dans une analyse publiée lundi.

Les applications en question ont été conçues pour cibler des utilisateurs au Brésil, en Espagne et aux États-Unis, la plupart d’entre elles enregistrant entre 1 000 et 5 000 installations. Une autre application nommée DefenseScreen a accumulé 10000 installations avant d’être supprimée du Play Store l’année dernière.

auditeur de mot de passe

Documenté pour la première fois par Kaspersky en août 2019, BRATA (abréviation de “Brazilian Remote Access Tool Android”) est apparu comme un malware Android avec des capacités d’enregistrement d’écran avant de se transformer progressivement en un cheval de Troie bancaire.

“Il combine des capacités de contrôle complet des appareils avec la possibilité d’afficher des pages Web d’hameçonnage qui volent des informations d’identification bancaires en plus de capacités qui lui permettent de capturer les informations de verrouillage de l’écran (code PIN, mot de passe ou modèle), de capturer des frappes (fonctionnalité de keylogger) et d’enregistrer l’écran du appareil infecté pour surveiller les actions d’un utilisateur sans son consentement », ont déclaré Fernando Ruiz et Carlos Castillo, chercheurs de McAfee.

Les applications qui distribuent la porte dérobée alertent les utilisateurs sans méfiance d’un problème de sécurité sur leurs appareils, les incitant à installer une fausse mise à jour d’une application spécifique (par exemple, Google Chrome, WhatsApp et une application de lecture PDF inexistante) pour résoudre le problème.

Une fois que la victime a accepté d’installer l’application, BRATA demande des autorisations pour accéder au service d’accessibilité de l’appareil, en abusant pour capturer le code PIN de l’écran de verrouillage (ou le mot de passe / modèle), enregistrer les frappes au clavier, prendre des captures d’écran et même désactiver le Google Play Store.

auditeur de mot de passe

En désactivant l’application Play Store, l’idée est également de désactiver Jouez à Protect, une fonctionnalité qui exécute de manière préventive un contrôle de sécurité sur les applications avant qu’elles ne soient téléchargées depuis l’App Store, et analyse régulièrement les appareils Android à la recherche d’applications potentiellement dangereuses et les supprime.

Il est intéressant de noter que les nouvelles versions de BRATA sont également équipées de couches d’obfuscation et de cryptage supplémentaires, en plus de déplacer la plupart des fonctionnalités de base vers un serveur distant contrôlé par un attaquant, permettant ainsi aux attaquants de mettre à jour facilement le malware et d’exploiter les appareils sur lesquels ils ont été installés. rester sous le radar.

“BRATA est juste un autre exemple de la puissance de l’utilisation (ab) des services d’accessibilité et de la façon dont, avec juste un peu d’ingénierie sociale et de persévérance, les cybercriminels peuvent inciter les utilisateurs à accorder cet accès à une application malveillante et à obtenir le contrôle total de l’appareil infecté », ont conclu les chercheurs.

“En volant le code PIN, le mot de passe ou le modèle, combiné à la possibilité d’enregistrer l’écran, de cliquer sur n’importe quel bouton et d’intercepter tout ce qui est entré dans un champ modifiable, les auteurs de logiciels malveillants peuvent pratiquement obtenir toutes les données de leur choix, y compris les informations d’identification bancaires via le Web de phishing ou même directement à partir des applications elles-mêmes, tout en masquant toutes ces actions à l’utilisateur. “



Leave a Reply