Début d’année en fanfare pour les attaques ciblant Android

Lukas Stefanko, chercheur pour ESET, vient de mettre en lumière des logiciels malveillants sur Android. Il souligne que les utilisateurs d’Android doivent être attentifs aux nouveaux logiciels malveillants qui se propagent par le biais de WhatsApp et qui attirent les victimes potentielles en les incitant à télécharger une application depuis un site web se faisant passer pour Google Play. Par ailleurs, il prévient également contre un site web malveillant se faisant passer pour DynamiCare Health dans une tentative d’hameçonnage imitant une application contre la COVID-19.

“Download This application and Win Mobile Phone”, est peut-être le message que vous recevrez pour tenter de vous tromper en vous faisant télécharger une fausse application Huawei. “Ce malware se répand via la WhatsApp de la victime, répondant automatiquement à toute notification de message WhatsApp avec un lien vers une fausse et malveillante application Huawei Mobile”, a déclaré Lukas Stefanko. Le malware, qui a été signalé pour la première fois par l’utilisateur de Twitter @ReBensk, semble être principalement destiné à générer des revenus publicitaires frauduleux pour ses opérateurs.
Afin d’installer l’application malveillante, les utilisateurs sont invités à autoriser l’installation d’applications à partir d’autres endroits que la boutique officielle de Google Play, supprimant ainsi une clé – et activée par défaut – de précaution de sécurité sur les appareils Android.

Une fois le processus d’installation terminé, l’application demande un certain nombre d’autorisations, dont l’accès aux notifications, qui, en combinaison avec la fonction de réponse directe d’Android permet de se diffuser de manière personnalisée.
fanfare

“En combinant ces deux fonctionnalités, le malware peut répondre efficacement avec un message personnalisé à tout message de notification WhatsApp reçu”, a déclaré Lukas Stefanko. Le malware s’exécute ensuite en arrière-plan jusqu’à ce qu’il récupère une réponse du serveur en attendant un message de notification WhatsApp qui est ensuite utilisé pour distribuer le lien malveillant aux contacts de la victime.

L’application malveillante demande également d’autres autorisations, notamment celle d’utiliser d’autres applications, ce qui lui permet de se superposer à toute autre application s’exécutant sur le dispositif, et d’ignorer l’optimisation de la batterie, ce qui lui permet de s’exécuter en arrière-plan et empêche le système de le tuer même s’il commence à épuiser la puissance et les ressources du dispositif.

L’application malveillante demande également d’autres autorisations, notamment celle d’utiliser d’autres applications, ce qui lui permet de se superposer à toute autre application s’exécutant sur le dispositif, et d’ignorer l’optimisation de la batterie, ce qui lui permet de s’exécuter en arrière-plan et empêche le système de le tuer même s’il commence à épuiser la puissance et les ressources du dispositif.

“Le ver se propage via des messages aux contacts de WhatsApp uniquement lorsque le dernier message reçu par la victime a été envoyé il y a plus d’une heure”, a expliqué M. Stefanko, ajoutant qu’il pense que cela est fait pour ne pas éveiller les soupçons des contacts de la victime, car la réception d’un lien en réponse à chaque message pourrait déclencher l’alarme.
Actuellement, l’application semble être principalement utilisée dans une campagne d’adware ou d’escroquerie à l’abonnement, bien qu’elle puisse être utilisée pour faire pire. “Ce malware pourrait éventuellement diffuser des menaces plus dangereuses puisque le texte du message et le lien vers l’application malveillante sont reçus du serveur de l’attaquant. Il pourrait simplement distribuer des chevaux de Troie bancaires, des logiciels de rançon ou des logiciels espions”, a déclaré M. Stefanko.

Le chercheur Lukas Stefanko met également en lumière un site web malveillant se faisant passer pour DynamiCare Health, une entreprise de santé numérique qui aide les gens à surmonter leur dépendance aux drogues, à l’alcool et au tabac. Ce site tente de distribuer des BlackRock, des chevaux de Troyes bancaires, sur Android. L’application téléchargée imite l’application COVID19 pour voler des identifiants tels que les noms d’utilisateur et les mots de passe de 226 applications, dont Amazon, Cash App, eBay, Gmail, Google Play, Hotmail, Instagram, Microsoft Outlook, myAT&T, Netflix, PayPal, Uber et Yahoo Mail, ainsi que toute une série d’applications bancaires et de cryptologie monétaire.
Fanfare

Pour vous protéger, la meilleure solution reste d’éviter de cliquer sur des liens suspects, de ne télécharger que des applications de Google Play et d’utiliser une solution de sécurité réputée.
https://twitter.com/LukasStefanko

CONTACTS PRESSE

Darina SANTAMARIA : +33 01 86 27 00 39 – [email protected]

Ines KHELIFI : +33 01 55 89 29 30 – [email protected]
_______________________________________

À propos d’ESET
Spécialisé dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public, ESET est aujourd’hui le 1er éditeur de l’Union européenne en matière de sécurité des endpoints. Pionnier en matière de détection proactive, ESET a été désigné pour la 2ème année consécutive, unique Challenger dans le Gartner Magic Quadrant 2019*, « Endpoint Protection » après avoir été évalué sur sa performance et sur la qualité de sa vision dans le domaine de la protection des Endpoints. À ce jour, l’antivirus ESET NOD32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. La technologie ESET protège aujourd’hui plus d’un milliard d’internautes. *Source : Gartner Inc, Magic Quadrant for Endpoint Protection Platforms, Peter Firstbrook, Lawrence Pingree, Dionisio Zumerle, Prateek Bhajanka, Paul Webber, August 20, 2019.

Pour plus d’informations : www.eset.com/na/ Blog : www.welivesecurity.com/fr