De temps en temps, nous apprenons que des applications Android malveillantes parviennent à se glisser sur le Play Store. La découverte la plus récente concerne toutefois deux applications du Play Store contenant un cheval de Troie malveillant qui a affecté plus de 11 millions d’appareils Android. Le même logiciel malveillant a également été trouvé dans des applications non officielles, ce qui signifie que le nombre de victimes ici est probablement bien plus élevé.
Des chercheurs de Kaspersky ont découvert une nouvelle version du cheval de Troie Necro, qui a attaqué les utilisateurs depuis deux sources : d’une part, le cheval de Troie Necro est délivré à travers des applications légitimes distribuées sur le Google Play Store. D’autre part, des acteurs malveillants ont injecté leur Trojan dans des applications modifiées, telles que des versions personnalisées de Spotify et Minecraft, que les utilisateurs ont téléchargées par des moyens non officiels—connu sous le nom de sideloading.
Applications modifiées
Kaspersky a d’abord enquêté sur une application Spotify modifiée appelée Spotify Plus, qui se vantait d’offrir des fonctionnalités de Spotify Premium gratuitement. Alors que l’application affirmait être “Vérifiée par la Sécurité”, l’analyse de Kaspersky a révélé que ces affirmations étaient fausses, et que l’application permettait au Trojan d’infecter ces appareils. Les chercheurs ont également trouvé le Trojan dans des versions modifiées de WhatsApp, tant dans “GBWhatsApp” que dans “FMWhatsApp”.
De plus, Kaspersky affirme avoir trouvé Necro dans une série de mods de jeux. Cela inclut Minecraft, Stumble Guys, Car Parking Multiplayer et Melon Sandbox.
Kaspersky souligne qu’il est impossible de dire combien de victimes il y a en provenance de ces sources non officielles. Tout ce que nous pouvons comptabiliser, ce sont le nombre de téléchargements des applications affectées sur le Play Store.
Applications du Play Store
Parmi toutes les applications affectées que Kaspersky a découvertes dans le Play Store de Google, il s’avère que le cheval de Troie Necro a infecté plus de 11 millions d’appareils Android. L’application la plus téléchargée de cette série est de loin l’application Wuta Camera, que Kaspersky indique avoir été téléchargée plus de 10 millions de fois. L’application n’était pas toujours malveillante non plus : les chercheurs affirment que le Trojan est apparu pour la première fois dans la version 6.3.2.148 de l’application. Elle a depuis été supprimée, donc l’application est actuellement sûre à télécharger.
Max Browser contenait également le Trojan, et a été téléchargé plus d’un million de fois. La première version de cette application à contenir le Trojan était la version 1.2.0, mais depuis que Kaspersky a signalé l’application, Google a complètement retiré Max Browser de son app store.
Ce que fait Necro
Lorsqu’il est installé sur votre appareil, le logiciel malveillant Necro peut exécuter un certain nombre de fonctions. Comme l’explique BleepingComputer, les charges utiles de Necro peuvent activer des plugins malveillants pour exécuter des logiciels publicitaires qui ouvrent ses liens avec des fenêtres invisibles ; des programmes qui exécutent divers scripts ; des programmes pour activer des abonnements frauduleux ; et des outils qui dirigent un trafic malveillant à travers votre appareil.
En effet, votre téléchargement d’application non officiel, ou le téléchargement officiel dans le cas de Max Browser et Wuta Camera, génère de l’argent pour les attaquants alors que vous ouvrez involontairement des publicités et exécutez des abonnements frauduleux en arrière-plan.
Comment protéger votre appareil
La première chose à faire est de scanner votre téléphone Android pour vérifier la présence de l’une des applications du Play Store mentionnées ci-dessus. Si vous avez Wuta Camera, assurez-vous de mettre à jour l’application immédiatement ou de la supprimer de votre téléphone. Si vous avez Max Browser, supprimez-le : il n’existe pas de version sûre de cette application.
De plus, supprimez toutes les applications modifiées nommées dans cet article si vous les avez sur votre smartphone, et soyez vigilant avec les téléchargements non officiels à l’avenir. Le sideloading ouvre certainement plus d’applications que celles contenues dans le Play Store, mais comme il y a moins de contrôles et de réglementations, vous courez le risque de télécharger quelque chose de malveillant.
