Ce malware Android s'exécute automatiquement et peut voler des données sensibles

Les chercheurs en cybersécurité de McAfee ont découvert qu’une version mise à jour du malware Android, XLoader, peut se lancer automatiquement sur les smartphones Android infectés après installation sans nécessiter d’interaction de l’utilisateur.

XLoader, également connu sous le nom de MoqHao, est une souche de malware probablement créée par un acteur malveillant motivé financièrement appelé ‘Roaming Mantis’.

Ce malware est principalement distribué via des liens URL raccourcis dans des messages texte sur des appareils Android, qui, lorsqu’ils sont cliqués, vous redirigent vers un site Web pour télécharger un fichier d’installation APK Android pour une application mobile.

Cela permet au malware de s’exécuter silencieusement en arrière-plan et d’extraire des informations personnelles et privées des appareils compromis, y compris les métadonnées de l’appareil, les photos, les messages texte, les listes de contacts, les appels à des numéros spécifiques en mode silencieux, et potentiellement des informations bancaires, entre autres.

« Le MoqHao typique nécessite que les utilisateurs installent et lancent l’application pour atteindre leur objectif souhaité, mais cette nouvelle variante ne nécessite aucune exécution. Pendant que l’application est installée, leur activité malveillante commence automatiquement », explique McAfee, un partenaire de l’App Defense Alliance d’Android, dans un rapport publié cette semaine.

« Nous avons déjà signalé cette technique à Google et ils travaillent déjà sur la mise en œuvre de mesures d’atténuation pour prévenir ce type d’auto-exécution dans une future version d’Android. »

Pour tromper l’utilisateur, le malware se déguise en une application légitime, prétendant souvent être le navigateur Web Google Chrome. Il utilise des chaînes Unicode dans les noms d’applications pour l’obfuscation, ce qui lui permet ensuite de demander des autorisations risquées sur l’appareil, comme l’envoi et l’accès au contenu des SMS, et de pouvoir toujours s’exécuter en arrière-plan en ajoutant une exclusion de l’optimisation de la batterie d’Android.

De plus, la fausse application Chrome demande également aux utilisateurs s’ils souhaitent la définir comme application SMS par défaut sous prétexte que cela aidera à prévenir le spam.

En outre, le malware utilise également des messages de phishing, dont le contenu est extrait du champ bio (ou description) des profils Pinterest frauduleux, qui sont ensuite envoyés aux smartphones infectés pour échapper à la détection par les logiciels antivirus.

Si le malware ne parvient pas à accéder à Pinterest, il utilise alors des messages de phishing codés en dur qui notifient les victimes potentielles qu’il y a quelque chose de louche avec leur compte bancaire et qu’elles doivent agir immédiatement.

Les chercheurs de McAfee ont noté que certains messages contextuels malveillants affichés demandaient des autorisations en anglais, coréen, français, japonais, allemand et hindi, ce qui indique également les cibles actuelles de XLoader. Ils croient qu’en plus du Japon, le malware cible également les utilisateurs Android en Corée du Sud, en France, en Allemagne et en Inde.

Pour rester protégé contre le malware XLoader, il est conseillé aux utilisateurs de ne pas installer d’applications par sideloading ou d’ouvrir des URL courtes dans des messages texte et d’être très prudents lors de l’octroi d’autorisations aux applications qu’ils installent. De plus, limitez le nombre d’applications installées sur votre téléphone Android et installez des applications uniquement à partir de développeurs réputés.

De plus, activez Google Play Protect sur votre smartphone Android afin qu’il puisse analyser toutes vos applications actuelles et toutes les nouvelles applications que vous téléchargez à la recherche de malware.

Envisagez également d’installer un logiciel antivirus supplémentaire pour Android pour une sécurité accrue.