Avertissement de Google Play Store : n’installez pas ces applications sur votre téléphone

Mis à jour le 25 septembre avec les conseils de Google aux utilisateurs suite à ces nouveaux rapports et aux détails d’un autre cheval de Troie bancaire ciblant désormais activement les utilisateurs d’Android.

Google fait le ménage sur Android. La gratuité des applications touche à sa fin, avec la suppression du Play Store et le renforcement des restrictions sur le sideloading qui touchent désormais les utilisateurs, et Play Protect qui sera bientôt amélioré avec la détection des menaces en direct d’Android 15. Tout cela est destiné à combler l’écart avec iOS et l’écosystème verrouillé de l’iPhone.

Mais nous voyons toujours des avertissements fréquents pour les utilisateurs, indiquant que des risques très graves subsistent. Et c’est certainement le cas cette semaine, avec deux rapports de sécurité distincts. Le premier à Kasperskyqui a mis en garde contre les risques liés aux « versions modifiées de Spotify, WhatsApp, Minecraft et d’autres applications de Google Play ».

ForbesL’erreur de mise à jour de Samsung : une mauvaise nouvelle pour des millions de propriétaires de téléphones GalaxyPar Zak Doffman

Les chercheurs soulignent à nouveau les dangers du Necro Trojan, signalé pour la première fois en 2019lorsqu’ils ont « découvert un cheval de Troie dans CamScanner, une application de reconnaissance de texte qui avait été téléchargée plus de 100 millions de fois sur Google Play. Aujourd’hui, les « nécromanciens » ont injecté du sang neuf dans l’ancien cheval de Troie : nous avons trouvé une version plus riche en fonctionnalités à la fois dans des applications populaires sur Google Play et dans divers mods d’applications sur des sites non officiels. »

Kaspersky affirme avoir trouvé le cheval de Troie sur un mod Spotify distribué en dehors du Play Store, mais également caché dans Wuta Camera, qui « s’est retrouvé sur Google Play, d’où l’application a été téléchargée plus de 10 millions de fois ».

Le conseil est simple. Non aux boutiques tierces, et encore plus aux mods d’applications populaires provenant de sources non officielles. Mais « les applications sur Google Play et d’autres plateformes officielles doivent également être traitées avec une bonne dose de scepticisme. Même une application populaire comme Wuta Camera, avec 10 millions de téléchargements, s’est avérée impuissante face à Necro. »

Le cheval de Troie a évolué et ses capacités d’obscurcissement sont bien plus avancées que celles de ses versions précédentes. Son objectif reste cependant le même : « Charger et exécuter n’importe quel fichier DEX, installer des applications téléchargées, pénétrer dans l’appareil de la victime et même, potentiellement, souscrire à des abonnements payants. De plus, il peut afficher et interagir avec des publicités dans des fenêtres invisibles, ainsi qu’ouvrir des liens arbitraires et exécuter n’importe quel code JavaScript. »

Le deuxième avertissement vient de Cléaféqui prévient qu’en juin, il a « identifié un cheval de Troie bancaire Android non classifié… une variante de TrickMo, bien qu’avec de nouveaux mécanismes anti-analyse intégrés ».

TrickMo est une évolution du tristement célèbre TrickBot, avec une obscurcissement plus avancé et un masquage proactif de l’analyse pour entraver la découverte. Encore une fois, TrickMo a été identifié pour la première fois en 2019, et nous voyons donc à nouveau le schéma commun, car ces menaces évoluent et se durcissent à mesure que le jeu constant du chat et de la souris se poursuit, tandis que les différentes défenses mises en place autour des téléphones et des magasins s’améliorent.

Le sac d’astuces de TrickMo est impressionnant et complet et comprend :

1. Interception de mots de passe à usage unique (OTP)
2. Enregistrement d’écran et enregistrement de frappe
3. Capacités de contrôle à distance
4. Abus de service d’accessibilité
5. Techniques avancées d’obscurcissement
6. Mécanismes anti-analyse

Encore une fois, ce n’est pas quelque chose que vous voulez sur votre téléphone. Ce malware est distribué via une mise à jour frauduleuse du navigateur Chrome, mais une fois installée, il affiche un « message d’avertissement invitant les utilisateurs à mettre à jour les services Google Play ».

Selon Cleafy, « la nouvelle application est nommée de manière trompeuse « Google Services » et se présente comme une instance légitime des services Google Play. Au lancement, l’application affiche une fenêtre demandant à l’utilisateur d’activer les services d’accessibilité pour l’application. » Cette ingénierie sociale astucieuse, qui dissimule les logiciels malveillants derrière des noms de confiance, est sans surprise efficace.

Le fil conducteur ici est clair. Ne faites pas confiance aux mods ou aux mises à jour ou même aux installations initiales d’applications populaires provenant d’autres magasins que les magasins officiels. Ne tombez pas dans le piège des mods non officiels provenant d’autres magasins que la source. Et faites même attention aux installations des magasins officiels pour des applications triviales provenant de développeurs inconnus.

En réponse aux nouveaux rapports, un porte-parole de Google m’a indiqué que « toutes les versions malveillantes des applications identifiées par ce rapport ont été supprimées de Google Play avant la publication du rapport. Les utilisateurs d’Android sont automatiquement protégés contre les versions connues de ce malware par Google Play Protect, qui est activé par défaut sur les appareils Android équipés des services Google Play. Google Play Protect peut avertir les utilisateurs ou bloquer les applications connues pour présenter un comportement malveillant, même lorsque ces applications proviennent de sources extérieures à Google Play. »

Google a assuré que Play Protect protégerait les utilisateurs contre Necro et TrickMo. Il est essentiel que les utilisateurs s’assurent que Play Protect est activé sur les appareils ; une fois les menaces confirmées, cela les protégera contre toute infection future.

En parlant de nouvelles menaces, un troisième rapport sur de nouveaux malwares Android en peu de temps vient d’être publié. Encore une fois, poursuivant sur le même thème, Tissu de menace prévient qu’une nouvelle variante d’Octo cible les utilisateurs en « se faisant passer pour des applications Google Chrome, NordVPN et Enterprise Europe Network ».

Octo lui-même, qui fait partie de la famille Exobot, est si bien établi que les chercheurs préviennent que « la découverte d’une nouvelle version, nommée « Octo2 » par son créateur, pourrait potentiellement modifier le paysage des menaces et le modus operandi des acteurs qui se cachent derrière elle ».

Encore une fois, pour continuer sur cette lancée, il s’agit d’un malware en évolution plutôt que d’une menace totalement nouvelle. « Les premiers échantillons de la famille de malwares Exobot ont été observés en 2016. À l’époque, il s’agissait d’un cheval de Troie bancaire capable d’effectuer des attaques par superposition et de contrôler les appels, les SMS et les notifications push. » L’évolution d’Exobot vers « ExobotCompact » (Octo) s’est produite trois ans plus tard, en 2019.

ThreatFabric affirme avoir détecté l’activité d’Octo via des campagnes de Malware-as-a-Service dans des pays aussi éloignés que « l’Europe, les États-Unis, le Canada, le Moyen-Orient, Singapour et l’Australie ». La location du malware vise à accélérer sa propagation, en exploitant de nombreux autres acteurs de la menace ainsi que le matériel et l’obfuscation requis. La nouvelle variante du malware, Octo2, devrait remplacer sans problème son prédécesseur et ainsi exploiter les canaux de commercialisation établis.

Les chercheurs affirment que « les paramètres d’Octo2 contiennent des traces de plusieurs applications et applications qui se trouvent sur le radar des acteurs… Cela signifie qu’une fois qu’Octo2 détecte une notification push provenant d’une des applications de la liste, il l’intercepte et ne la montre pas à la victime. La présence de l’application sur la liste signifie qu’elle intéresse les cybercriminels, et ils se préparent déjà à attaquer ses utilisateurs. »

Comme partout ailleurs, Octo2 utilise une fausse notification « Google » pour inciter les utilisateurs Android à contourner les restrictions de l’appareil afin de permettre au malware de s’exécuter. Sans surprise, des modifications importantes ont été apportées à cette dernière itération, mais l’objectif reste de voler les identifiants bancaires spécifiques à l’application par le biais de campagnes ciblées.

ForbesNouvel avertissement de Microsoft Windows : vous ne devez jamais faire cela sur votre PCPar Zak Doffman

« L’émergence de la variante Octo2 signale des défis futurs pour la sécurité des services bancaires mobiles, car ses capacités améliorées et son utilisation plus large présentent des risques importants… Octo2 s’appuie sur [its] « Les logiciels malveillants sont désormais dotés de capacités d’accès à distance encore plus robustes et de techniques d’obfuscation sophistiquées. Cela rend la détection et la suppression des logiciels malveillants plus difficiles pour les systèmes de sécurité, ce qui augmente leur longévité et leur impact potentiel. »

Octo est peut-être en train de changer, mais les conseils aux utilisateurs restent les mêmes ; voici un rappel des autres règles d’or pour rester en sécurité :

1. Restez fidèle aux boutiques d’applications officielles : n’utilisez pas de boutiques tierces et ne modifiez jamais les paramètres de sécurité de votre appareil pour permettre le chargement d’une application.
2. Vérifiez le développeur dans la description de l’application : est-ce quelqu’un que vous aimeriez avoir dans votre vie ? Et vérifiez les avis, ont-ils l’air légitimes ou fabriqués par des particuliers ?
3. N’accordez pas à une application des autorisations dont elle n’a pas besoin : les lampes torches et les applications d’observation des étoiles n’ont pas besoin d’accéder à vos contacts et à votre téléphone. Et n’accordez jamais d’autorisations d’accessibilité qui facilitent le contrôle de l’appareil, sauf si vous en avez besoin.
4. Une fois par mois, parcourez votre téléphone et supprimez quelques-unes des applications dont vous n’avez plus besoin ou que vous n’avez pas utilisées depuis longtemps.
5. N’installez pas d’applications qui renvoient vers des applications établies comme WhatsApp, à moins que vous ne soyez sûr qu’elles sont légitimes : vérifiez les avis et les articles en ligne.