Comme rapporté par Bleeping Computer, Anatsa, un cheval de Troie bancaire, sévit sur les smartphones européens. Bien que nous ayons déjà vu Anatsa toucher des smartphones dans le passé, cette campagne spécifique d’Anatsa cible le Royaume-Uni, l’Allemagne, l’Espagne, la Slovaquie, la Slovénie et la République tchèque, et a été détectée pour la première fois par des chercheurs de ThreatFabric en novembre.
Depuis lors, Anatsa a infecté au moins 150 000 smartphones, bien que les chercheurs estiment que ce chiffre pourrait atteindre 200 000. Les acteurs malveillants derrière les dropper de logiciels malveillants (applications conçues pour diffuser des logiciels malveillants) sont également astucieux, attachant leur logiciel malveillant à des applications conçues pour apparaître dans les trois premières places des catégories “Nouveaux Gratuits” sur le Play Store. Si une application figure ici, davantage d’utilisateurs peuvent être incités à l’essayer, augmentant le nombre de victimes que le logiciel malveillant peut infecter.
Comment Anatsa fonctionne-t-il ?
Lorsque vous installez une application Anatsa sur votre smartphone, elle vise la fonctionnalité de Service d’Accessibilité d’Android. Ce service, conçu pour rendre Android plus accessible au plus grand nombre d’utilisateurs, quel que soit leur niveau de capacité, a été le point d’entrée de nombreux types de logiciels malveillants, car il permet à des logiciels malveillants de s’installer en arrière-plan sans que l’utilisateur en ait connaissance.
Google a ciblé ce type d’abus du Service d’Accessibilité, mais les logiciels malveillants trouvent un moyen. Cette fois-ci, ces applications Anatsa ont réussi à passer inaperçues en proposant une fausse fonctionnalité “mettre en veille les applications consommant de la batterie”. Alors que l’utilisateur pense qu’il active une fonction permettant de mettre certaines applications en veille en arrière-plan, il donne en réalité la permission aux applications Anatsa d’utiliser le Service d’Accessibilité.
Une fois le Service d’Accessibilité activé pour l’application, celle-ci télécharge des parties spécifiques du code malveillant, pas l’intégralité. Cela permet de rester sous le radar : si l’application tirait tout le code malveillant d’un coup, Android pourrait s’en apercevoir et mettre fin au processus. Ensuite, le dropper télécharge un fichier contenant le code malveillant utilisé pour installer le véritable logiciel malveillant sur votre appareil. À partir de là, l’application télécharge un fichier avec le lien pour le logiciel malveillant. Enfin, elle télécharge et lance le logiciel malveillant sur votre téléphone.
Anatsa est un cheval de Troie bancaire, donc il est conçu pour voler vos informations bancaires, telles que vos identifiants bancaires. Les acteurs malveillants peuvent ensuite utiliser ces données pour voler votre argent ou votre identité, ce qui fait de cette forme de logiciel malveillant quelque chose de particulièrement nuisible.
Quelles applications contiennent le malware Anatsa ?
Selon la recherche, les cinq applications suivantes ont été responsables des 150 000 (ou 200 000) téléchargements d’Anatsa en Europe :
-
Phone Cleaner – Explorateur de Fichiers
-
PDF Viewer – Explorateur de Fichiers
-
PDF Reader – Visionneuse & Éditeur
-
Phone Cleaner : Explorateur de Fichiers
-
PDF Reader : Gestionnaire de Fichiers
Bien sûr, si vous reconnaissez l’un de ces noms et que vous avez l’une de ces applications sur votre appareil, supprimez-les immédiatement. Heureusement, vous ne pourrez plus les télécharger : Google les a depuis supprimées du Play Store. Cependant, cela seul ne les supprimera pas des appareils sur lesquels elles sont installées. Ainsi, assurez-vous de ne pas avoir d’applications de cette liste, même si vous ne vivez pas dans les pays ciblés.
Comment se protéger des dropper de logiciels malveillants
Les applications contenant des logiciels malveillants ou les instructions pour installer des logiciels malveillants trouvent de nouvelles façons de tromper les utilisateurs pour les inciter à les télécharger. Cependant, il existe quelques bonnes pratiques que vous pouvez adopter pour vous protéger à l’avenir.
Tout d’abord, évitez toute application qui se prétend améliorer les performances ou la qualité de votre téléphone, à moins qu’elle ne provienne d’une enseigne reconnue avec une large base d’utilisateurs favorables. Les utilisateurs malveillants savent que les clients recherchent ce type d’applications et conçoivent leurs dropper pour y ressembler.
À mesure que vous devenez plus sceptique à l’égard de ces applications, examinez plus attentivement leurs pages sur le Play Store. Assurez-vous que le texte est bien rédigé et exempt d’erreurs simples d’orthographe et de grammaire. Une application légitime prend généralement soin de corriger ces éléments. De plus, vérifiez que les images sont de haute qualité et montrent réellement ce que l’application prétend être.
Enfin, parcourez les avis. Consultez les avis récents, ainsi que les plus critiques, en recherchant quelqu’un qui se plaint que l’application rend son téléphone moins performant. Certains pourraient même dénoncer l’application pour installation de logiciels malveillants, alors restez vigilant. Si les avis semblent étranges ou s’il y a des avis pour une application apparemment différente dans le passé, il est préférable de ne pas s’embarrasser avec l’application dès le départ.
