Android, 3 applications malveillantes dans le Play Store

Trois nouvelles applications malveillantes ont été découvertes sur le Google Play Store d’Android.

Ces applications sont Camero, FileCrypt Manager et callCam. Elles sont apparemment liées au groupe de hackers nommé Sidewinder qui se spécialise dans les attaques de cyber espionnage.

Selon les chercheurs en sécurité informatique de Trend Micro, ces applications exploitaient une vulnérabilité use-after-free dans Android depuis au moins le mois de Mars l’année dernière. C’est donc 7 mois avant que cette faille de sécurité ne soit découverte par un chercheur de Google qui analysé une attaque développé par l’entreprise de surveillance Israélienne NSO Group.

“Nous pensons que ces applications sont actives depuis Mars 2019 en se basant sur les informations du certificat de l’une de ces applications,” ont déclaré les chercheurs.

Identifié comme CVE-2019-2215, la vulnérabilité est une élévation de privilège locale qui permet de compromettre l’accès root d’un appareil vulnérable et aussi de l’exploiter à distance quand elle est combinée avec une autre faille de rendu de navigateur.

Ce spyware root votre smartphone Android

Selon Trend Micro, FileCrypt Manager et Camero agissent comme des ‘droppers’ et se connectent à serveur command-and-control distant pour télécharger un fichier DEX, qui télécharge ensuite l’application callCam et essaye de l’installer en exploitant les vulnérabilités d’élévation de privilège ou en abusant de la fonctionnalité d’accessibilité.

android

“Tout cela se produit à l’insu de l’utilisateur et ne nécessite aucune intervention de sa part. Pour échapper à la détection, ils utilisent plusieurs techniques comme l’offuscation, le chiffrement de données et l’utilisation de code dynamique,” ont expliqué les chercheurs.

Une fois installé, callCam cache son icône dans le menu, récupère les informations suivantes depuis l’appareil compromis et les envoient au serveur command-and-control du pirate en arrière plan:

  • Localisation
  • Etat de la batterie
  • Fichiers sur l’appareil
  • Liste d’applications installées
  • Informations de l’appareil
  • Informations des capteurs
  • Information de la caméra
  • Capture d’écran
  • Compte
  • Information Wifi
  • Données de WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail et Chrome

En plus de CVE-2019-2215, les applications malveillantes essaient aussi d’exploiter une autre vulnérabilité dans le pilote MediaTek-SU pour obtenir des permissions root et garder le contrôle des smartphones Android.

En s’appuyant sur la localisation des serveurs command-and-control, les chercheurs ont attribué cette campagne à Sidewinder. Il semblerait que ce soit un groupe d’espionnage Indien qui avait pour habitude de cibler des organisations associées à l’armée Pakistanaise.

Une fois encore, le Play Protect de Google n’a pas rempli ses fonctions. Play Protect est une fonctionnalité qui est, essentiellement, une évolution du service « Verify Apps » de Google, elle est dorénavant présente et active par défaut sur tous les appareils Android, c’est un scanner de logiciels malveillants en temps réel qui analysera chaque application installée ou sur le point d’être installée et informe les utilisateurs s’il y a quelque chose de suspect.

Comment protéger son smartphone Android des malwares?

Google a supprimé de son Play Store toutes les applications malveillantes mentionnées plus haut. Ce nouvel incident montre qu’on ne peut pas toujours compter sur Google pour se débarrasser de toutes les applications malveillantes sur son Play Store, il est donc important d’être très prudent quand vous téléchargez des applications et de suivre quelques règles de sécurité.

Pour vérifier si votre smartphone Android est infecté, allez dans vos paramètres, ensuite dans Applications, cherchez dans la liste d’applications installées et désinstallez l’application.

Pour protéger votre appareil contre les menaces, il est recommandé de prendre quelques précautions simples:

  • Gardez vos appareils et vos applications à jour
  • Évitez de télécharger des applications venant de sources inconnues
  • Faites attention aux permissions demandées par les applications
  • Faites des sauvegardes fréquemment
  • Installez une bonne application antivirus

Si cet article vous a plu, jetez un œil à notre article précédent.

Poster un Commentaire

avatar
  S’abonner  
Notifier de