Google Play Store: Plus de 750 000 utilisateurs ont téléchargé des applications frauduleuses

0

Les chercheurs ont découvert un nouvel ensemble d’applications Android frauduleuses dans le Google Play Store. Ces applications détournent les notifications de SMS pour effectuer de la fraude de facturation.

Les applications en question ciblaient principalement les utilisateurs en Asie du Sud-Ouest et dans la péninsule arabique, attirant un total de 700 000 téléchargements avant qu’ils ne soient découverts et supprimés de la plate-forme.

Les résultats ont été rapportés indépendamment par les entreprises de cybersécurité Trend Micro et McAfee.

« Se faisant passer pour des éditeurs de photos, des fonds d’écran, des puzzles, des skins de clavier et d’autres applications liées à la caméra, les logiciels malveillants intégrés dans ces applications frauduleuses détournent les notifications de SMS et font ensuite des achats non autorisés », ont déclaré des chercheurs de McAfee dans un rapport.

Les applications frauduleuses appartiennent au malware « Joker » (alias Bread), qui est un habitué du contournement des défenses de Google Play Store au cours des quatre dernières années, ce qui a entraîné la suppression de Google de pas moins de 1700 applications infectées sur le Google Play Store au début de l’année 2020. McAfee, cependant, suit cette menace avec un surnom différent qui est « Etinu ».

google play store malware

Le malware est connu pour la fraude de facturation et ses capacités de logiciels espions, y compris le vol de messages SMS, listes de contacts, et les informations de l’appareil. Les auteurs de logiciels malveillants utilisent généralement une technique appelée versioning, qui se réfère au téléchargement d’une version propre de l’application sur le Google Play Store pour obtenir la confiance des utilisateurs, puis sournoisement ajouter du code malveillant à un stade ultérieur via les mises à jour de l’application, dans le but de contourner le processus d’examen de l’application.

Le code supplémentaire injecté sert de charge utile de première étape, qui se fait passer pour des fichiers .png apparemment anodins et établit une connexion avec un serveur de commande et de contrôle (C2) pour récupérer une clé secrète qui est utilisé pour déchiffrer le fichier. Cette charge utile provisoire charge ensuite la deuxième charge utile chiffrée qui est finalement déchiffrée pour installer le malware.

L’enquête de McAfee sur les serveurs C2 a révélé les informations personnelles des utilisateurs, y compris l’opérateur, le numéro de téléphone, les SMS, l’adresse IP, le pays, l’état du réseau, ainsi que les abonnements au renouvellement automatique.

La liste des neuf applications est la suivante:

  • Keyboard Wallpaper (com.studio.keypaper2021)
  • PIP Photo Maker (com.pip.editor.camera)
  • 2021 Wallpaper and Keyboard (org.my.favorites.up.keypaper)
  • Barber Prank Hair Dryer, Clipper and Scissors (com.super.color.hairdryer)
  • Picture Editor (com.ce1ab3.app.photo.editor)
  • PIP Camera (com.hit.camera.pip)
  • Keyboard Wallpaper (com.daynight.keyboard.wallpaper)
  • Pop Ringtones for Android (com.super.star.ringtones)
  • Cool Girl Wallpaper/SubscribeSDK (cool.girly.wallpaper)

Les utilisateurs qui ont téléchargé ces applications sur le Google Play Store sont invités à vérifier toute transaction non autorisée tout en prenant des mesures pour surveiller les autorisations suspectes demandées par les applications et examiner attentivement les applications avant qu’elles ne soient installées sur les appareils.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.