Publicités

Ce malware s’installe sous Android et clique à votre place sur les publicités

TECHNOLOGIE
Ce malware s'installe sous Android et clique à votre place sur les publicités

Trend Micro a découvert que neuf applications du Play Store intégraient un cheval de Troie qui installe un adware à l’insu du possesseur d’un smartphone Android. Le virus prend ensuite la main sur le profil Facebook pour afficher des publicités et simuler des clics pour engranger de l’argent.

Imaginez que vous parcouriez votre profil Facebook avec votre smartphone et qu’il soit rempli de publicités, qui ne cessent de se recharger comme si vous aviez cliqué dessus. C’est le signe qu’un malware est installé sur votre téléphone, et sa fonction est justement de prendre le contrôle de votre compte Facebook pour afficher des publicités, et donc simuler des clics pour gagner de l’argent.

>>> Lire aussi : Construction d’un satellite africain de développement

Il s’agit d’un adware plus exactement et Trend Micro a découvert que neuf applications présentes sur le Play Store en étaient infectées. Au total, cela représente plus de 470.000 installations avec essentiellement des applications censées améliorer les performances du smartphone comme Super Clean-Phone Booster. On trouve aussi des jeux, ainsi qu’un VPN. Il s’agit donc essentiellement de catégories très populaires.


Si vous avez installé l’une de ses applications, votre smartphone est infecté © Futura, Trend Micro

Des applications qui incitent à enlever la protection d’Android

Après leur installation, ils invitent l’utilisateur à désactiver Play Protect et à autoriser l’accès à certaines fonctions d’Android. C’est là que se situe le piège, puisque ça va lui permettre d’installer un cheval de Troie à l’insu de l’utilisateur, et Trend Micro a comptabilisé 3.000 variantes de malwares ! Leur rôle reste le même : se connecter à des serveurs distants pour polluer l’appareil de publicités. Mais l’éditeur de solutions de sécurité a aussi remarqué que ce même malware était capable de récupérer l’email du possesseur du smartphone, et de lui envoyer des messages de type phishing l’invitant à installer une application.

>>> Lire aussi : Facebook en voit de toutes les couleurs (Photos)

Les pays les plus touchés sont le Japon, Taiwan, les États-Unis, l’Inde et la Thaïlande. Curieusement, il n’y a pas la Chine, et la raison est simple selon Trend Micro : les hackers n’attaquent pas leur propre pays pour éviter d’être appréhendés par les autorités locales. Du côté de Google, on a supprimé les neuf applications vérolées, et on répète qu’il ne faut jamais désactiver Play Protect et que tout message incitant l’utilisateur à le faire est un piège.

Un malware Android enregistre ce qui s’affiche sur votre écran

Le virus BianLian est de retour sur le Play Store et il combine six modules pour voler un maximum de données confidentielles, dont les coordonnées bancaires. Il est notamment capable d’enregistrer à distance tout ce qui s’affiche sur l’écran.

L’expert en cybersécurité Fortinet a publié un billet détaillant une nouvelle attaque contre les smartphones et tablettes utilisant le système Android, qui vise à subtiliser notamment les informations d’applications bancaires, mais également d’autres données sensibles.

Le malware est adepte du camouflage, raison pour laquelle les chercheurs l’ont baptisé BianLian, du nom de l’art vivant chinois où l’artiste change régulièrement de masque de manière imperceptible. Il avait déjà été détecté en 2018, mais avait un fonctionnement un peu différent. Il ne servait alors pas à espionner les utilisateurs, mais à installer d’autres malwares. Son développeur s’était donc concentré sur le camouflage, l’intégrant dans des applications parfaitement fonctionnelles afin d’obtenir de bonnes notes sur le Play Store de Google et inciter les utilisateurs à les garder le plus longtemps possible. “Trend Micro”

Un malware qui a beaucoup évolué

À l’époque, BianLian s’était fait connaître notamment comme le système d’installation du malware Anubis, qui visait à voler les identifiants bancaires. Cette fois, l’application fonctionne seule et intègre différentes fonctions pour voler les données des victimes. Il commence par cacher son icône et demande constamment l’autorisation d’utiliser certaines fonctionnalités des services d’accessibilité d’Android jusqu’à ce que l’utilisateur accepte.

>>> Lire aussi: Le pirate nigérian Olumide Ogunremi interpellé aux États-Unis pour une escroquerie d’un million de dollars

Une fois l’accès obtenu, le malware dispose de six modules pour tenter de voler des informations sensibles. Un premier module texte, pour consulter le contenu des SMS et même en envoyer. Un second module sert à passer des appels et utiliser des codes USSD, des commandes propres à chaque opérateur qui permettent d’obtenir des informations, comme le crédit d’appel restant, ou activer des options. Un troisième module ajoute des éléments par-dessus d’autres applications. Par exemple, au moment de saisir ses identifiants sur son application bancaire, le malware remplace les champs pour les identifiants par de faux champs afin d’en voler le contenu. “Trend Micro”


Les applications vérolées vous demandent d’accéder à certaines fonctions confidentielles, et si vous cliquez sur OK sans vérifier, le mal est fait. © Fortinet

BianLian envoie même des captures d’écran

Ce sont deux autres modules qui ont le plus intrigué les chercheurs. Un module Socks5 crée un serveur SSH sur l’appareil, ce qui permet des communications sécurisées et difficiles à détecter avec le serveur de commande du malware. Un autre module permet d’enregistrer l’écran. Cette fonction peut même être déclenchée à distance et déverrouiller l’appareil. Enfin, un dernier module, plus simple, se contente de verrouiller l’écran pour empêcher l’utilisateur d’accéder à l’appareil une fois le vol des données terminé. “Trend Micro”

>>> Lire aussi : High-tech – Le géant Huawei prend de l’avance sur la 6G

D’après Fortinet, BianLian serait encore en développement actif, ce qui laisse craindre de nouvelles évolutions encore plus problématiques. En attendant, les antivirus mobiles (notamment celui de Fortinet…) devraient être en mesure de le détecter, sans oublier de faire attention à ne pas accorder d’autorisations à une application sans en comprendre les raisons.

Publicités

ARTICLES connexes

Chargement....
AfroPlanete | La vitrine de l'Afrique
AfroPlanete site d'informations, d'actualités et tous évènements en Afrique et ailleurs dans le monde

Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désabonner si vous le souhaitez. Accepter Lire plus

Privacy & Cookies Policy