Les chercheurs en sécurité de Zscaler surveillent régulièrement le Play Store, la boutique de Google, à la recherche d’applications malveillantes. Malgré les efforts du géant américain, certaines applications passent sous les radars et les conséquences peuvent être graves pour les utilisateurs d’Android. Ils ont découvert que plus de 90 applications malveillantes ont investi le Play Store, cumulant plus de 5,5 millions d’installations.
Le point commun de ces applications est d’embarquer un malware connu des spécialistes en sécurité. Anatsa (alias TeaBot) est un cheval de Troie actif sur Android qui cible plus de 650 d’institutions financières, principalement en Europe. Il apparaît aussi aux États-Unis, au Royaume-Uni, en Allemagne, en Espagne, en Finlande, en Corée du Sud et à Singapour.
Anatsa fonctionne en réalité comme un « dropper » (injecteur) en apparence inoffensif. Une fois installé, il va télécharger du code malveillant et exfiltrer les informations bancaires sensibles et les identifiants. Il utilisera pour cela des techniques de base, comme la superposition pour récupérer discrètement les données. Cette méthode consiste à afficher une fausse fenêtre au-dessus de l’application bancaire, en s’inspirant de son interface. Les victimes ne font pas forcément la différence et entre leurs données (identifiants, mots de passe…) en toute confiance.
Si d’autres malwares évoluent sur la boutique de Google, Zscaler met surtout en garde sur les campagnes malveillantes de Anatsa. Ce dernier s’est caché dans les applications légitimes et anodines, comme des lecteurs PDF ou de codes QR. Les chercheurs citent PDF Reader & File Manager et QR Reader & File Manager, deux applications téléchargées plus de 70 000 fois sur le Play Store. Ce nombre élevé d’installations est un atout pour tromper les victimes, suggérant que ces applications sont sans danger.
Google fait le ménage, mais il faut rester vigilant
La discrétion de ce malware séduit les cybercriminels qui arrivent à passer sous les radars de sécurité de Google. Les applications, en apparence inoffensives, vont être d’être installées pour passer à l’attaque. Les instructions sont récupérées via un serveur à distance, ainsi qu’un fichier malveillant. Le fichier APK se présente comme une simple mise à jour et va infecter l’appareil Android, sans éveiller les soupçons du Play Store. Cette approche permet régulièrement Anatsa de semer la panique sur la boutique d’applications de Google, et chez les utilisateurs.
À l’heure de ces lignes, les deux applications piégées n’apparaissent plus sur le Play Store. Zscaler ne publie pas une liste complète des applis, mais les chercheurs ont transmis leurs résultats à Google pour que ce dernier fasse le ménage. Afin de ne pas infecter son smartphone, il faut être prudent lorsque vous installez « des lecteurs de PDF et des lecteurs de code QR » depuis le Play Store. Il convient aussi de faire attention à certaines applications « gestionnaires de fichiers, d’éditeurs et de traducteurs ». On ajoute à cette liste les outils permettant de retoucher des images, ou estampillés « IA ».
Sur le Play Store comme ailleurs, il vaut mieux opter pour des applications publiées par des développeurs de renom. N’hésitez pas non plus à faire un tour dans les commentaires, et à vérifier la liste des autorisations.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
