Le malware Necro infecte plus de 11 millions d’appareils Android via les applications Google Play

Une nouvelle version du malware Necro, une forme de malware apparue pour la première fois en 2019, a été installée sur au moins 11 millions d’appareils via des applications distribuées via le Google Play Store.

Découvert par des chercheurs chez Kaspersky Lab Inc.le logiciel malveillant a été installé sur les appareils Android via des kits de développement de logiciels publicitaires malveillants utilisés par des applications sur Google Play, ainsi que des modifications de jeux et des versions modifiées d’applications et de jeux populaires disponibles via des magasins d’applications non officiels.

L’une des applications infectées, appelée Wuta Camera, a été téléchargée plus de 10 millions de fois sur Google Play. Une autre application, Max Browser, a été téléchargée plus d’un million de fois sur la boutique officielle de Google. Les deux versions infectées des applications ont depuis été supprimées par Google.

Dans les deux cas, les chercheurs de Kaspersky affirment que les applications ont été infectées par un SDK publicitaire appelé « Coral SDK » qui utilisait des techniques d’obfuscation pour masquer ses activités malveillantes. Pour la charge utile de deuxième étape, le malware utilise ensuite stéganographie d’image via « shellPlugin » déguisé en image inoffensive.

Une fois qu’un appareil Android est infecté, le malware affiche des publicités dans des fenêtres invisibles, puis clique dessus, télécharge des fichiers exécutables, installe des applications tierces et ouvre des liens arbitraires dans des fenêtres invisibles pour exécuter du Javascript. Le malware peut également abonner les utilisateurs à des services payants à leur insu et rediriger le trafic Internet via des appareils infectés, les utilisant comme proxy.

Katie Teitler-Santullo, stratège en cybersécurité chez une société de gestion de la posture de sécurité des applications OX Appsec Sécurité Ltée.a déclaré à SiliconANGLE par courrier électronique que « bien que les utilisateurs n’aient aucun contrôle sur les SDK utilisés dans les applications, les développeurs des applications peuvent, en effet, vérifier que le SDK n’a pas été falsifié ».

« Par exemple, les développeurs doivent vérifier si le SDK a été signé avec un certificat valide et s’il provient d’une source fiable », a déclaré Teitler-Santullo. « L’analyse du code source à la recherche de contenu malveillant et d’accès non autorisé aide les développeurs à identifier si le code a été modifié ou s’il est vulnérable à une exploitation. »

Elle a ajouté que « c’est toujours une bonne pratique pour les équipes AppSec d’effectuer divers autres types d’analyses, notamment SAST, DAST, les dépendances et les vulnérabilités, à la fois pour détecter les problèmes avant le déploiement des applications et pendant l’exécution. »

Image : SiliconANGLE/Ideogram