Android: 1 malware qui utilise le capteur de mouvement

Même après autant d’effort fourni par Google pour se débarrasser des logiciels malveillants dans le Play Store d’Android, des applications véreuses arrivent à contourner les protections anti-malware et à infecter les utilisateurs.

Deux applications malveillantes ont récemment été découvertes sur Google Play Store par l’équipe de chercheurs de Trend Micro. Des milliers d’utilisateurs d’Android avaient déjà téléchargé ces applications malveillantes.

La première application malveillante se nomme Currency Converter (elle permet d’échanger des devises) et la deuxième se prénomme BatterySaverMobi, (un économiseur de batterie). Elles utilisent les capteurs de mouvement des appareils Android infectés pour surveiller les déplacements et installé un Trojan (cheval de Troie) qui se nomme Anubis.

L’utilisation du capteur de mouvement permet d’éviter d’être détecté quand les chercheurs en sécurité informatique utilisent des émulateurs pour trouver les applications malveillantes sur Android.

Une fois téléchargée, l’application malveillante utilise le capteur de mouvement d’Android pour détecter si l’utilisateur et l’appareil sont en mouvement. Si ils ne sont pas en mouvement le code ne s’exécute pas.

Dès qu’elle détecte des données de mouvement, l’application exécute le code malveillant et essaye de forcer les victimes à télécharger et installer l’APK du payload “Anubis” en se faisant passer pour une fausse mise à jour du système qui ressemble à une ” version stable d’Android.”

android

Pas seulement les capteurs de mouvement d’Android…

Si l’utilisateur approuve la fausse mise à jour du système, le dropper (injecteur) qui se trouve dans le malware utilise des requêtes et des réponses d’autres applications comme Twitter et Telegram pour se connecter au serveur “command and control” (C&C) et télécharger le trojan Anubis.

Les développeurs cachent les échanges avec le serveur C&C en les encodant dans les requêtes de pages web de Telegram et Twitter.

L’appareil infecté s’enregistre sur le serveur C&C et s’informe régulièrement sur les commandes à effectuer avec des requêtes HTTP POST. Si le serveur réponds à l’application avec une commande APK et joint une URL de téléchargement, alors le payload Anubis s’activera en arrière plan.

Une fois l’appareil compromis, le malware récupère les données de compte bancaire avec un keylogger ou des captures d’écrans quand l’utilisateur entre ses données.

google

Selon les chercheurs de Trend Micro, la dernière version d’Anubis a été distribué dans 93 pays et a été fusionné à 377 applications différentes.

Le cheval de troie peut aussi accéder à la liste de contact et aux données de localisation. Il peut aussi envoyer des message, appeler et faire des enregistrements audio.

Google a déjà enlevé les deux applications dans son Play Store. Il est très probable qu’il y ait encore plusieurs applications Android de ce type sur le Play Store et d’autres logiciels malveillants qui pourraient infecter vos smartphones. Les mesures prises par Google pour empêcher ce genre d’événements et sécurisé son Play Store ne semble pas être aussi efficace qu’ils l’espéraient. Ces mesures ont rendu la tâche plus compliquée pour les hackers mais pas impossible.

La meilleure façon de se protéger contre ces logiciels malveillants est d’être toujours vigilant quand vous téléchargez des applications. Faites aussi attention aux permissions que vous donnez à ces applications sur votre smartphone Android.

Si cet article vous a plu, jetez un œil à notre précédent article.

Source: The Hacker News

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x