Récemment, le groupe de recherche en sécurité Zscaler a révélé avoir identifié plus de 90 applications Android malveillantes disponibles sur le Play Store. Ces applications, installées plus de 5,5 millions de fois au total, font partie de la campagne de malware Anatsa, ciblant plus de 650 applications financières.
En février 2024, Anatsa avait déjà contaminé au moins 150 000 appareils via plusieurs applications leurres, souvent présentées comme des outils de productivité. Parmi les applications impliquées dans cette attaque, deux ont été identifiées : PDF Reader & File Manager et QR Reader & File Manager, qui avaient accumulé plus de 70 000 installations au moment de l’enquête de Zscaler.
Mécanisme d’infection de ces applications malveillantes
Bien que Google applique un processus de vérification pour les applications du Play Store, certaines campagnes de malware comme Anatsa réussissent à contourner ces contrôles grâce à un mécanisme de chargement de charge utile en plusieurs étapes. Concrètement, l’application se fait passer pour légitime et ne commence l’infection qu’après installation sur l’appareil de l’utilisateur.
Par exemple, vous pensez télécharger un lecteur PDF, mais une fois l’application installée et ouverte, celle-ci se connecte à un serveur C2 pour récupérer les configurations nécessaires. Elle télécharge ensuite un fichier DEX contenant le code malveillant et l’active sur votre appareil. À partir de là, l’URL de la charge utile Anatsa est téléchargée via un fichier de configuration, et le fichier DEX installe le malware, achevant ainsi l’infection de votre téléphone.
Heureusement, toutes les applications identifiées ont été retirées du Play Store et leurs développeurs bannis. Cependant, cela ne supprime pas ces applications de votre smartphone si vous les avez déjà installées. Si vous possédez l’une de ces applications, désinstallez-les immédiatement. Il est également recommandé de changer les mots de passe de vos applications bancaires pour éviter que vos comptes ne soient compromis par les acteurs malveillants derrière Anatsa.
Comment éviter les applications malveillantes
Même si les développeurs malveillants sont ingénieux dans leurs attaques, voici quelques conseils pour vérifier la légitimité d’une application sur le Play Store. Premièrement, examinez attentivement la description de l’application : le nom, la description et les images correspondent-ils au service annoncé ? Le texte est-il bien écrit ou comporte-t-il de nombreuses erreurs ? Moins la page semble professionnelle, plus il est probable qu’elle soit malveillante.
Téléchargez uniquement des applications de développeurs de confiance. Cela est particulièrement crucial si vous téléchargez une application populaire, car les applications malveillantes imitent parfois des applications de renom. Vérifiez le développeur derrière l’application pour vous assurer qu’il est bien celui qu’il prétend être.
Vérifiez également les autorisations demandées par l’application. Les applications demandant des accès aux paramètres d’accessibilité devraient généralement être évitées, car c’est l’un des principaux moyens utilisés par les groupes de malware pour contourner les paramètres de sécurité. Méfiez-vous également des applications demandant l’accès à votre liste de contacts et aux SMS. Si un lecteur PDF demande l’accès à vos contacts, c’est un signe d’alerte majeur.
Lisez les avis sur l’application. Méfiez-vous des applications ayant peu de notes ou des avis excessivement positifs. L’adresse email de support peut également être révélatrice. De nombreuses applications malveillantes utilisent un compte Gmail aléatoire (ou un autre compte gratuit) pour le support. Bien que toutes les applications n’aient pas une adresse email professionnelle, vous pouvez généralement détecter quelque chose de suspect en fonction des informations fournies.
Malheureusement, il n’y a pas de méthode infaillible pour éviter les applications malveillantes, à moins de ne jamais en installer. Mais, en étant attentif aux applications que vous installez et en vérifiant les permissions, le développeur et d’autres informations importantes, vous pouvez généralement détecter si une application est suspecte.
504 total views, 1 views today
