android

Android: Un malware qui utilise le capteur de mouvement

Même après autant d’effort fait par Google pour se débarrasser des malware dans le Play Store d’Android, des applications véreuses arrivent à contourner les protections anti-malware et à infecter les utilisateurs.

Deux applications malveillantes ont récemment été découverte sur Google Play Store par l’équipe de recherche de Trend Micro. Des milliers d’utilisateurs d’Android avaient déjà téléchargé ces applications.

La première application se nomme Currency Converter (elle permet d’échanger des devises) et la deuxième se prénomme BatterySaverMobi, (un économiseur de batterie). Elles utilisent les capteurs de mouvement des appareils infectés pour surveiller les déplacements et installé un Trojan (cheval de Troie) qui se nomme Anubis.

L’utilisation du capteur de mouvement permet d’éviter d’être détecter quand les chercheurs utilisent des émulateurs pour trouver les applications malveillantes.

Une fois téléchargé, l’application malveillante utilise le capteur de mouvement pour détecter si l’utilisateur et l’appareil sont en mouvement. Si ils ne sont pas en mouvement le code ne s’exécute pas.

Dès qu’elle détecte des données de mouvement, l’application exécute le code malveillant et essaye de forcer les victimes à télécharger et installer l’APK du payload “Anubis” en se faisant passer pour une fausse mise à jour du système qui ressemble à une ” version stable d’Android.”

Pas seulement les capteurs de mouvement d’Android…

Si l’utilisateur approuve la fausse mise à jour du système, le dropper (injecteur) qui se trouve dans le malware utilise des requêtes et des réponses d’autres applications comme Twitter et Telegram pour se connecter au serveur “command and control” (C&C) et télécharger le trojan Anubis.

Les développeurs cachent les échanges avec le serveur C&C en les encodant dans les requêtes de pages web de Telegram et Twitter.

L’appareil infecté s’enregistre sur le serveur C&C et s’informe régulièrement sur les commandes à effectuer avec des requêtes HTTP POST. Si le serveur réponds à l’application avec une commande APK et joint une URL de téléchargement, alors le payload Anubis s’activera en arrière plan.

Une fois l’appareil compromis, le malware récupère les données de compte bancaire avec un keylogger ou des captures d’écrans quand l’utilisateur entre ses données.

Selon les chercheurs de Trend Micro, la dernière version d’Anubis a été distribué dans 93 pays et a été fusionné à 377 applications différentes.

Le Trojan peut aussi accéder à la liste de contact et aux données de localisation. Il peut aussi envoyer des message, appeler et faire des enregistrements audio.

Google a déjà enlevé les deux applications dans son Play Store.

La meilleure façon de se protéger contre ces malwares est d’être toujours vigilant quand vous téléchargez des applications. Faites aussi attention aux permissions que vous donnez à ces applications.

Si cet article vous a plu, jetez un œil à notre précédent article.

Source: The Hacker News

Leave a Reply