Plus de 300 000 appareils Android infectés par des chevaux de Troie bancaires malveillants

Plus de 300 000 utilisateurs du Google Play Store ont été infectés par des chevaux de Troie bancaires Android, selon un nouveau rapport de ThreatFabric, une entreprise de sécurité mobile.

Le mois dernier, des chercheurs en sécurité de ThreatFabric ont découvert quatre campagnes de dropper de logiciels malveillants différentes distribuant des chevaux de Troie bancaires sur le Google Play Store. Ceux-ci font principalement partie de quatre familles de logiciels malveillants — Anatsa, Alien, Hydra et Ermac, qui ont été distribués entre août et novembre 2021 et téléchargés plus de 300 000 fois.

Ces applications Android malveillantes se faisaient passer pour QR Scanner, QR Scanner 2021, PDF Document Scanner, PDF Document Scanner Free, Two Factor Authenticator, Protection Guard, QR CreatorScanner, Master Scanner Live, CryptoTracker et Gym and Fitness Trainer.

Lors de la recherche consacrée aux techniques de distribution des différentes familles de logiciels malveillants, les analystes de ThreatFabric ont trouvé de nombreux droppers situés dans Google Play, conçus pour distribuer spécifiquement le cheval de Troie bancaire Anatsa.

Anatsa a été découvert par ThreatFabric en janvier 2021. C’est un cheval de Troie bancaire Android plutôt avancé avec des capacités RAT et semi-ATS. Il peut également effectuer des attaques de superposition classiques afin de voler des identifiants, un enregistrement d’accessibilité (capturant tout ce qui est affiché sur l’écran de l’utilisateur) et un enregistrement des touches.

Le premier dropper a été découvert en juin 2021 se faisant passer pour une application de numérisation de documents. Au total, les analystes de ThreatFabric ont pu identifier 6 droppers Anatsa publiés sur Google Play depuis juin 2021.

Ces applications se faisaient passer pour des scanners de codes QR, des scanners PDF et des applications de cryptomonnaie. Une application dropper a été installée plus de 50 000 fois, le total combiné des installations de tous les droppers atteignant plus de 100 000 installations.

« Les acteurs derrière cela ont pris soin de faire en sorte que leurs applications aient l’air légitimes et utiles. Il y a un grand nombre d’avis positifs pour les applications. Le nombre d’installations et la présence d’avis peuvent convaincre les utilisateurs Android d’installer l’application. De plus, ces applications possèdent effectivement la fonctionnalité revendiquée, après installation elles fonctionnent normalement et convainquent davantage la victime de leur légitimité », ont noté les chercheurs.

De plus, il y avait également des installations de dropper provenant des familles de logiciels malveillants Alien (95 000+) et Hydra/Ermac (15 000+). Alors qu’Alien peut voler des informations importantes même lors d’un processus d’authentification à deux facteurs, les deux autres fournissent aux attaquants un accès à l’appareil nécessaire pour voler les informations bancaires des utilisateurs.

Les applications dropper ont une empreinte malveillante très petite, ce qui est une conséquence (directe) des restrictions de permission imposées par Google Play.

Un bon exemple est la modification introduite le 13 novembre 2021 par Google, qui limite l’utilisation des services d’accessibilité, qui étaient abusés par les campagnes de dropper précédentes pour automatiser et installer des applications sans le consentement de l’utilisateur.

« Cette surveillance par Google a forcé les acteurs à trouver des moyens de réduire considérablement l’empreinte des applications dropper. En plus des efforts d’amélioration du code malveillant, les campagnes de distribution sur Google Play sont également plus raffinées que les campagnes précédentes », ont expliqué les chercheurs de ThreatFabric dans leur rapport.

« Par exemple, en introduisant des mises à jour de code malveillant soigneusement planifiées sur une plus longue période dans Google Play, ainsi qu’en ayant un backend C2 de dropper pour correspondre pleinement au thème de l’application dropper (par exemple, un site Web de fitness fonctionnel pour une application axée sur l’entraînement). »

Pour se rendre encore plus difficiles à détecter par Google et les fournisseurs d’antivirus, les acteurs derrière ces applications dropper n’activent manuellement l’installation du cheval de Troie bancaire sur un appareil infecté que pour cibler une région spécifique du monde ou à des dates ultérieures pour échapper davantage à la détection. Cela rend la détection automatisée une stratégie beaucoup plus difficile à adopter par toute organisation.

En conséquence, presque tous les chevaux de Troie ont ou ont eu un score FUD de 0/62 sur VirusTotal à un moment donné, confirmant la difficulté de détecter les applications dropper avec une empreinte minimale.

« En l’espace de seulement 4 mois, 4 grandes familles Android ont été diffusées via Google Play, entraînant plus de 300 000 infections via plusieurs applications dropper. Une tendance notable dans les nouvelles campagnes de dropper est que les acteurs se concentrent sur des loaders avec une empreinte malveillante réduite dans Google Play, augmentant considérablement les difficultés à les détecter avec des techniques d’automatisation et d’apprentissage automatique », conclut le rapport.

« La petite empreinte malveillante est le résultat des nouvelles restrictions de Google Play (actuelles et prévues) visant à limiter l’utilisation de la vie privée concernant les autorisations des applications. »

Après la découverte des applications malveillantes, ThreatFabric les a toutes signalées à Google, qui a maintenant été supprimé du Play Store comme confirmé par un porte-parole de Google à ZDNet.

« L’écosystème de logiciels malveillants bancaires Android évolue rapidement. Ces chiffres que nous observons maintenant sont le résultat d’un changement lent mais inévitable de l’attention des criminels vers le paysage mobile. Dans cet esprit, le Google Play Store est la plateforme la plus attrayante à utiliser pour servir des logiciels malveillants », a déclaré Dario Durando, spécialiste des logiciels malveillants mobiles chez ThreatFabric, à ZDNet.

« Une bonne règle de base est de toujours vérifier les mises à jour et d’être toujours très prudent avant d’accorder des privilèges de services d’accessibilité – qui seront demandés par la charge malveillante, après l’installation de la « mise à jour » – et de se méfier des applications qui demandent d’installer des logiciels supplémentaires », a recommandé Durando aux utilisateurs pour éviter l’infection.