Les utilisateurs sous Android sont ciblés par une vaste campagne de piratage qui exploite les failles du Google Play Store. Les experts de Bitdefender alertent sur 331 applications infectées qui ont plus de 60 millions de téléchargements. En ce moment, 15 sont encore actives dans la boutique.
Les arnaques sont de plus en plus nombreuses. Quand ce n’est pas le SIM swapping, les pirates passent par des boutiques légitimes comme le Google Play Store. Les logiciels malveillants se cachent sous des applications légitimes comme des gestionnaires pour les dépenses, des scanners de QR, des fonds d’écran, etc. La majorité de ces apps vérolées ont été publiées lors du troisième trimestre 2024. Pour contourner les protections, certaines étaient légitimes puis ont été vérolées suite à des mises à jour.
À lire : Que faire pour vérifier si vos données sont sur le dark net ?
331 applications vérolées ont trouvé leur place sur le Google Play Store
C’est spécifiquement Android 13 qui est visé, d’où la nécessité de toujours tenir votre appareil à jour. Et pas que les smartphones, les experts recommandent par exemple de passer de Windows 10 à Windows 11. Pour piéger les utilisateurs, les pirates ont développé des techniques bien rodées. Par exemple, désactiver l’icône de lancement par défaut et utiliser du code natif pour la masquer après l’installation, ce qui n’est pas possible avec les versions précédentes de l’OS de Google. Certaines applications modifient leur nom en « Google Voice » dans les paramètres système pour paraître officielles.
Ensuite, les pirates utilisent un “fournisseur de contenu” qui est automatiquement sollicité par Android après l’installation pour démarrer l’application sans que l’utilisateur n’intervienne. Les pirates créent ensuite un affichage virtuel invisible pour exécuter leurs activités en toute discrétion.
Parmi les techniques avancées, on trouve l’utilisation de DisplayManager.createVirtualDisplay pour créer un écran fantôme permettant de lancer des activités en arrière-plan. D’autres exploitent le LEANBACK_LAUNCHER, d’habitude destiné à Android TV, comme mécanisme supplémentaire d’infection des smartphones. Ces applications vérolées, quand installées sur un appareil Android, affichent des publicités en plein écran et, pire encore, volent les identifiants et les informations bancaires via du phishing.
Pour éviter la détection par les protections, les pirates ont intégré des mécanismes capables d’identifier les environnements émulés utilisés lors des tests de sécurité. On parle de chiffrement des communications avec AES, Base64 et des algorithmes personnalisés.
Le Brésil reste le plus touché des pays, puis viennent les États-Unis, le Mexique, la Turquie, la Corée du Sud et plus loin, la France. Google a débuté son grand ménage face à ces 331 applications vérolées, mais Bitdefender recommande d’installer une solution de sécurité. Retrouvez la liste complète des logiciels vérolés sur GitHub pour vérifier une possible compromission de votre appareil Android.
À lire aussi : tout ce qu’il faut savoir sur le Dark Web
Réagissez à cet article !