Le malware Necro Trojan infecte des millions d’appareils Android via deux applications Google Play

Cela semble être une pratique récurrente maintenant : écrire sur les malwares Android. « Les chevaux de Troie déguisés en mises à jour de Google Play sont les prochaines grandes menaces pour vos données », « Un nouveau malware Android vide les comptes bancaires et efface les appareils » et « Un nouveau malware dangereux utilise des cookies pour s’introduire dans les comptes Google » ne sont que quelques-unes des histoires de malwares malveillants dont nous avons parlé cette année, et une nouvelle vague d’infections est en train d’émerger.

Dans un rapport de Liste sécurisée de Kasperskyvia Ordinateur biple fournisseur d’antivirus a mis en évidence un nouveau cheval de Troie Necro qui s’est infiltré furtivement dans des millions d’appareils Android via des attaques malveillantes de la chaîne d’approvisionnement SDK utilisant des SDK publicitaires compromis.

La présence du malware a été détectée sur deux applications du Play Store, à savoir La caméra Wuta de Benqu et le navigateur Max, désormais supprimé. Le premier compte plus de 10 millions de téléchargements et contenait le cheval de Troie Necro de la version 6.3.2.148 (18 juillet) à la version 6.3.6.148 (20 août).

Ce dernier, Max Browser, a été téléchargé plus d’un million de fois avant d’être retiré du Play Store, comme l’indique BleepingComputer, et sa dernière version 1.2.0 abrite toujours le malware.

Ailleurs, la portée de Necro s’étend également à des versions modifiées d’applications populaires comme WhatsApp, Spotify et Minecraft, qui sont normalement distribuées via des sites Web non officiels et des magasins d’applications. Par conséquent, leur portée ne peut pas être quantifiée.

Que fait le Nécromancien Troyen ?

La principale façon dont le cheval de Troie affecte un appareil est d’y installer un logiciel publicitaire qui charge des sites Web via des fenêtres WebView invisibles, générant ainsi des revenus publicitaires pour l’attaquant à vos dépens.

Le cheval de Troie peut également télécharger et exécuter du code arbitraire sur l’appareil infecté, faciliter la fraude à l’abonnement et acheminer le trafic malveillant qui peut rendre plus difficile la traçabilité de sa source.

BleepingComputer suggère que Google est au courant de l’existence du cheval de Troie et des applications qui l’hébergent, et qu’il enquête actuellement sur le problème. Pour les utilisateurs, cela signifie qu’ils doivent être encore plus attentifs aux applications qu’ils téléchargent. Si vous avez téléchargé l’une des applications infectées, il serait prudent de la désinstaller rapidement et d’analyser votre appareil avec un antivirus réputé. Il serait également judicieux de modifier les mots de passe importants, même s’il ne semble pas que le cheval de Troie ait compromis les comptes d’utilisateurs.

La fonctionnalité Play Protect du Play Store, qui effectue essentiellement un contrôle de sécurité sur les applications du Play Store avant leur installation, est une bouée de sauvetage dans de telles situations et doit rester activée. L’outil peut également analyser votre appareil à la recherche d’applications nuisibles après leur téléchargement et leur installation, et vous envoyer des alertes sur les applications susceptibles d’accéder à vos informations personnelles.

Play Protect est activé par défaut, mais si vous l’avez déjà désactivé pour une raison quelconque, voici comment vous pouvez le réactiver :

• Ouvrir Google Play Store.
• Appuyez sur votre icône de profil en haut à droite.
• Robinet Jouer Protéger → Paramètres.
• Activer Analyser les applications avec Play Protect.

Pour analyser votre appareil via Play Protect, accédez simplement à l’ Play Store → icône de profil → Jouer Protéger → Balayage.