De nouvelles applications malveillantes sur Android utilisent un capteur de mouvement pour éviter d’être repérées

Par défaut
Même avec tous les efforts que Google déploie sur son PlayStore pour contrer les malwares, certaines applications obscures réussissent à tromper ses protections anti-malware et à pénétrer son service d’applications pour infecter les utilisateurs d’Android.

Deux applications de ce genre ont été récemment détectées sur le PlayStore par des chercheurs en sécurité en lien avec l’équipe de recherche de malwares de Trend Micro. Elles avaient déjà infecté avec un bancaire malware des millions d’utilisateurs Android qui les ont téléchargées.
Les applications en question se font passer pour une application de convertisseur de devises appelée Currency Converter et pour une application d’économie de batterie appelée BatterySaverMobi et utilisent des entrées de capteurs de mouvement d'appareils Android infectés pour les surveiller avant d'installer un cheval de Troie bancaire dangereux appelé Anubis.
 Les applications Android malveillantes, disposant de très bonnes critiques, utilisent cette manœuvre astucieuse au lieu des techniques d'évasion traditionnelles afin d'éviter la détection lorsque les chercheurs exécutent des émulateurs (moins susceptibles d'utiliser des capteurs) pour détecter des applications de leur genre. 
 "Lorsqu'un utilisateur se déplace, son appareil génère généralement une certaine quantité de données de capteurs de mouvement. Le développeur de logiciels malveillants suppose que le sandbox utilisé pour l'analyse des logiciels malveillants est un émulateur ne contenant aucun capteur de mouvement et qu'il ne créera pas ce type de données", déclarent les chercheurs. dans un article de blog publié jeudi.
 "Si tel est le cas, le développeur peut déterminer si l'application est exécutée dans un environnement sandbox simplement en vérifiant les données du capteur."
Une fois téléchargée, l'application malveillante utilise le capteur de mouvement du périphérique infecté pour détecter si l'utilisateur ou le périphérique est en déplacement. Si le périphérique et l'utilisateur ne bougent pas, le code malveillant ne s'exécutera pas.
Dès qu'elle détecte les données du capteur, l'application exécute le code malveillant, puis essaie de tromper les victimes en téléchargeant et en installant le fichier malveillant Anubis payload APK avec une mise à jour système fictive, se faisant passer pour une "version stable d'Android".

Pas seulement une détection des mouvements mais plus encore

Si l'utilisateur approuve la fausse mise à jour du système, le programme anti-malware intégré utilise des requêtes et des réponses via des services légitimes, notamment Twitter et Telegram, pour se connecter à son serveur de commande et de contrôle requis et télécharger le cheval de Troie bancaire Anubis sur le périphérique infecté. 
« Les développeurs de ces applications dissimulent le serveur malveillant en l’encodant dans les requêtes des pages web de Twitter et Telegram. Le dépositaire du malware bancaire va utiliser Telegram ou Twitter après avoir obtenu la confiance de l’appareil », expliquent les chercheurs. 
"Ensuite, il s'enregistre auprès du serveur C & C et cherche les commandes avec une requête HTTP POST. Si le serveur répond à l'application avec une commande APK et attache l'URL de téléchargement, alors la charge Anubis sera supprimée en arrière-plan." 
Une fois compromis, le cheval de Troie bancaire Anubis obtient les informations d'identification du compte bancaire des utilisateurs, soit à l'aide d'un enregistreur de frappe intégré, soit en prenant des captures d'écran de l'écran des utilisateurs lorsqu'ils insèrent des informations d'identification dans une application bancaire.
Habituellement, les chevaux de Troie bancaires lancent un faux écran de superposition en haut des pages de connexion à un compte bancaire pour voler leurs identifiants. 
Selon les chercheurs de Trend Micro, la dernière version d'Anubis a été distribuée dans 93 pays différents et cible les utilisateurs d'au moins 377 variantes d'applications financières afin d'extraire les détails des comptes.  
Le cheval de Troie bancaire a également la capacité d’avoir accès aux listes de contacts et à l’emplacement, d’envoyer des messages de spam aux contacts, de composer les numéros d’appel de l’appareil, d’enregistrer le son et de modifier le stockage externe. 
Depuis, Google a supprimé les deux applications malveillantes de son Play Store. Bien qu'il s'agisse d'une préoccupation sans fin, le meilleur moyen de vous protéger de tels programmes malveillants est de toujours rester vigilant lors du téléchargement d'applications, même à partir du Play Store officiel de Google.
Plus important encore, soyez attentif aux applications pour lesquelles vous donnez des droits d’administrateur, car il s’agit d’une autorisation puissante qui permet de contrôler totalement votre appareil.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *