Cette semaine, le groupe de recherche en sécurité Zscaler a rapporté avoir découvert plus de 90 applications Android malveillantes disponibles sur le Play Store. Ces applications ont été installées plus de 5,5 millions de fois au total, et beaucoup faisaient partie de la campagne de malware Anatsa en cours, qui a ciblé plus de 650 applications liées aux institutions financières.
A partir de février 2024, Anatsa a infecté au moins 150 000 appareils via plusieurs applications leurres, dont beaucoup sont commercialisées comme logiciels de productivité. Bien que nous ne connaissions pas les identités de la plupart des applications impliquées dans cette dernière attaque, nous savons que deux d’entre elles sont : PDF Reader & File Manager, ainsi que QR Reader & File Manager. Au moment de l’enquête de Zscaler, les deux applications avaient totalisé plus de 70 000 installations entre elles.
Comment ces applications malveillantes infectent votre téléphone
Malgré le processus de révision de Google pour les applications demandant à être sur le Play Store, des campagnes de malware comme Anatsa sont sournoises et peuvent utiliser un mécanisme multi-étapes de chargement de payload pour éviter ces examens. En d’autres termes, l’application se fait passer pour légitime, et ne commence une infection furtive qu’une fois installée sur l’appareil de l’utilisateur.
Vous pourriez penser que vous téléchargez un lecteur PDF, mais une fois installé et ouvert, l’application “dropper” se connectera à un serveur C2 et récupérera les configurations et chaînes essentielles dont elle a besoin. Elle téléchargera ensuite un fichier DEX contenant le code malveillant et l’activera sur votre appareil. À partir de là, l’URL du payload Anatsa est téléchargée via un fichier de configuration, et ce fichier DEX installe le payload de malware, complétant ainsi le processus et infectant votre téléphone.
Heureusement, toutes les applications identifiées ont été retirées du Play Store et leurs développeurs ont été bannis. Cependant, cela ne supprimera pas ces applications de votre smartphone si vous les avez téléchargées. Si vous avez l’une de ces deux applications sur votre téléphone, désinstallez-les immédiatement. Vous devriez également changer les codes d’accès de toutes les applications bancaires que vous pourriez avoir utilisées sur votre téléphone pour éviter que vos comptes ne soient accessibles par les acteurs de la menace derrière Anatsa.
Comment éviter les applications malveillantes
Bien que les développeurs malveillants puissent être retors avec leurs attaques, il existe quelques conseils à suivre pour déterminer si une application sur le Play Store est légitime. Le premier est de prêter vraiment attention à la liste de l’application : Regardez son nom, sa description et ses images : Tout correspond-il au service que les développeurs annoncent ? Le texte est-il bien écrit, ou regorge-t-il d’erreurs ? Moins la page apparaît professionnelle, plus elle est susceptible d’être fausse.
Téléchargez uniquement des applications de la part d’éditeurs de confiance. Cela est particulièrement vrai si vous téléchargez une application populaire, car les applications malveillantes peuvent parfois se faire passer pour des applications de premier plan sur les téléphones et autres appareils. Vérifiez le développeur derrière l’application pour vous assurer qu’il est bien celui qu’il prétend être.
Vous devez également vérifier les exigences et les autorisations que l’application demande. Tout ce qui demande un accès à l’accessibilité devrait généralement être évité, car c’est l’un des principaux moyens par lesquels les groupes de malware contournent les paramètres de sécurité appliqués à de nombreux appareils récents. D’autres permissions à surveiller incluent les applications demandant l’accès à votre liste de contacts et aux SMS. Si un lecteur PDF veut vos contacts, c’est un gros drapeau rouge.
Lire également les avis sur l’application. Méfiez-vous des applications qui n’ont pas beaucoup d’évaluations, ou de celles dont tous les avis semblent suspectement positifs.
L’adresse email de support de l’application peut également être révélatrice. De nombreuses applications malveillantes auront un compte Gmail aléatoire (ou un autre compte email gratuit) lié à leur support. Bien que toutes les applications ne présenteront pas une adresse email professionnelle pour le support, vous pouvez généralement deviner si quelque chose pourrait être louche en fonction des informations que le groupe fournit.
Malheureusement, il n’existe pas de moyen infaillible d’éviter les applications malveillantes, à moins de ne pas installer d’applications du tout. Mais, si vous êtes attentif aux applications que vous installez et faites attention aux permissions, au développeur et aux autres informations importantes, vous pouvez généralement détecter si une application est suspecte.
