Le malware Tekya cible des millions d’utilisateurs d’Android

Des chercheurs ont découvert une nouvelle famille de logiciels malveillants nommée Tekya. Cette famille de malware commet des fraudes avec les publicités sur smartphones et se cachent dans 56 applications sur le Google Play Store. Ces applications ont été téléchargés près d’un million de fois dans le monde.

Une équipe de Check Point Software a récemment découvert le malware, surnommé Tekya, qui se fait passer pour l’utilisateur et clique sur les affichages et les bannières d’agences publicitaires telles que l’AdMob de Google, AppLovin ‘, Facebook et Unity pour permettre aux pirates informatiques de faire du profit. Les chercheurs de Check Point, Israel Wernik , Danil Golubenko et Aviran Hazum ont révélé l’existence du malware dans un article publié le 24 Mars.

google tekya

Selon les chercheurs, près de la moitié des applications contenant le malware ciblent les enfants, comme les puzzles et les jeux de course. Le reste des applications infectées sont des applications utilitaires telles que des calculatrices, des traducteurs et des téléchargeurs, ont-ils déclaré. Google a déjà supprimé les applications infectées.

“Cette campagne a cloné des applications populaires légitimes pour gagner une audience, principalement chez les enfants, car la plupart des couvertures d’applications pour le logiciel malveillant Tekya sont des jeux pour enfants”, ont écrit les chercheurs. Ils ont inclus dans leur message une liste des mauvaises applications, notamment le puzzle Let Me Go et les jeux Cooking Delicious.

La bataille acharnée de Google contre les logiciels malveillants sur Google Play est bien connue, et le fournisseur a fait un effort concerté au cours des deux dernières années pour se débarrasser des mauvaises applications et des logiciels malveillants. Parmi les initiatives pour mettre tout cela en place, on note la formation d’une alliance l’année dernière avec les principales entreprises de sécurité pour stopper les applications malveillantes avant leur arrivée dans le Play Store.

À la mi-février, Google a révélé qu’ils progressaient dans leur lutte contre les logiciels malveillants, affirmant qu’ils avaient supprimé 790 000 applications qui enfreignent les politiques de Google.

Cependant, une semaine plus tard, les chercheurs de Check Point ont découvert huit applications (pour la plupart encore des utilitaires de caméra et des jeux pour enfants) diffusant une nouvelle souche de malware baptisée Haken qui dérobe des données et abonne les victimes à des services premium coûteux.

Maintenant, avec la découverte de Tekya (qui a même échappé aux détections anti-malware lors des analyses de Check Point), il semble que le géant de la technologie doit probablement être encore plus vigilant pour sécuriser les applications sur Google Play, ont déclaré les chercheurs.

google

Tekya évite la détection de Google Play Protect en masquant le code natif. Il utilise ensuite une fonctionnalité d’Android introduite l’année dernière appelée MotionEvent pour imiter les actes d’un utilisateur et générer des clics frauduleux sur les services publicitaires, ont déclaré des chercheurs.

Une fois qu’une application infectée est installée, elle s’enregistre comme «us.pyumo.TekyaReceiver» et peut effectuer plusieurs actions, ont décrit les chercheurs dans leur article. Ces actions incluent: “BOOT_COMPLETED” pour permettre l’exécution du code au démarrage de l’appareil; “USER_PRESENT” pour détecter lorsque l’utilisateur utilise activement l’appareil; et “QUICKBOOT_POWERON” pour permettre au code de s’exécuter après le redémarrage de l’appareil.

“Ce récepteur a un seul objectif: charger la bibliothèque native “libtekya.so” dans le dossier “bibliothèques” du fichier .apk”, ont-ils déclaré.

À l’intérieur de la bibliothèque, plusieurs objets surnommés «validateurs» sont chargés d’appeler diverses fonctions à partir du code de la bibliothèque dans le cadre d’une chaîne d’événements qui se termine finalement par un comportement malveillant. Par exemple, “AdmobValidator” appelle la fonction “c”, qui exécute ensuite la fonction “z”, qui appelle ensuite la fonction “zzdtxq” à partir de la bibliothèque native. Une sous-fonction de zzdtxq, «sub_AB2C», crée et distribue des événements tactiles, imitant un clic publicitaire via le mécanisme MotionEvent.

Des mécanismes de défense qui ne détectaient pas Tekya

Même pendant l’enquête de Check Point, les protections de sécurité VirusTotal et Google Play Protect n’ont pas détecté le malware Tekya, ont reconnu les chercheurs, soulignant à nouveau que “le Google Play Store peut toujours héberger des applications malveillantes” malgré des protections avancées.

“Il y a près de 3 millions d’applications disponibles dans le Play Store, avec des centaines de nouvelles applications téléchargées quotidiennement – ce qui rend difficile de vérifier que chaque application est sûre”, ont expliqué les chercheurs. “Ainsi, les utilisateurs ne peuvent pas compter uniquement sur les mesures de sécurité de Google Play pour garantir la protection de leurs appareils.”