Android : Un cheval de Troie imite des applications légitimes pour voler vos données

Android : Un cheval de Troie imite des applications légitimes pour voler vos données

De fausses versions d’applications Android sont utilisées par des cybercriminels pour infecter des utilisateurs avec des chevaux de Troie malveillants. Ces malwares seraient installées après le téléchargement d’un faux bloqueur de publicités.

TeaBot – également connu sous le nom d’Anatsa – est capable de prendre le contrôle total à distance des appareils Android, permettant aux cybercriminels de voler des données bancaires et d’autres informations sensibles à l’aide de l’enregistrement des touches et du vol des codes d’authentification.

Le malware est apparu pour la première fois en décembre de l’année dernière et la campagne reste active. Les auteurs de TeaBot tentent d’inciter leurs victimes à télécharger le malware en le déguisant en fausses versions d’applications légitimes et populaires, dont les vraies versions ont souvent été téléchargées des millions de fois.

publicité

Contrefaçon d’applications

Comme le détaillent les chercheurs en cybersécurité de Bitdefender, les applications Android falsifiées sont notamment des antivirus, le lecteur multimédia open source VLC, des lecteurs de livres audio, etc. Leurs versions malveillantes utilisent des noms et des logos légèrement différents.

Les applications malveillantes ne sont pas hébergées sur le Google Play Store, mais sur des sites web tiers. Mais comment les utilisateurs sont dirigés vers ces sites reste un mystère pour les chercheurs.

L’une des façons de diriger les victimes vers les applications malveillantes consiste à utiliser une fausse application de blocage des publicités qui sert de “dropper”, bien que l’on ignore comment les victimes sont dirigées vers le bloqueur de publicités. Le faux bloqueur de publicité n’a aucune fonctionnalité réelle, mais demande des autorisations pour s’afficher au-dessus d’autres applications, afficher des notifications et installer des applications en dehors du Google Play Store – les fausses applications qui sont cachées après avoir été installées.

TeaBot cible l’Europe

Cependant, ces applications cachées affichent à plusieurs reprises de fausses publicités. Ironiquement, elles prétendent souvent que le smartphone a été infecté par une application malveillante, encourageant l’utilisateur à cliquer sur un lien pour trouver la solution. C’est ce qui télécharge TeaBot sur l’appareil. La méthode d’infection peut sembler alambiquée, mais le fait de la diviser en plusieurs étapes rend la détection du malware moins probable.

TeaBot semble se concentrer sur l’Europe occidentale, l’Espagne et l’Italie étant les principaux foyers d’infection. Néanmoins, des utilisateurs du Royaume-Uni, de France, de Belgique, des Pays-Bas et d’Autriche sont aussi fréquemment ciblés.

La campagne reste active et, bien que de nombreuses méthodes de distribution en dehors du faux bloqueur de publicité restent inconnues, les utilisateurs peuvent prendre certaines précautions pour éviter d’en être victimes. « N’installez jamais d’applications en dehors du magasin officiel. De même, ne cliquez jamais sur les liens dans les messages et soyez toujours attentif aux autorisations de vos applications Android », conseillent les chercheurs de Bitdefender dans le billet de blog.

Source : ZDNet.com

Leave a Reply

Your email address will not be published. Required fields are marked *