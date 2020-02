Mercredi, nous avons signalé la présence d’un nouveau lot d’applications Android frauduleuses qui devaient être supprimées du Google Play Store (mais pas avant d’avoir accumulé quelque 382 millions de téléchargements), mais une nouvelle vague de ces applications est apparue conscient de. Et à retirer de votre téléphone, si vous en avez.

Deux équipes distinctes de chercheurs ont découvert une paire d’applications désagréables et une activité Android, dont certaines parmi les pires que nous ayons vues. Tout d’abord, un nouveau lot de neuf applications (depuis leur suppression du Google Play Store après avoir accumulé environ 470 000 téléchargements) provient d’un rapport de Trend Micro qui identifie un certain nombre d’objectifs sinistres pour cette collection d’applications qui se déguisent en utilitaires apparemment anodins, avec des noms comme Rocket Cleaner et LinkWorldVPN. Cependant, les chercheurs de Trend Micro avertissent que les applications font tout, de la connexion silencieuse aux serveurs pour télécharger jusqu’à 3000 éléments malveillants – et que certains peuvent même se connecter aux comptes Facebook et Google des utilisateurs ignorants à des fins de fraude publicitaire.

Les applications en question sont les suivantes:

Shoot Clean – Junk Cleaner, Phone Booster, CPU Cooler

Super Clean Lite – Booster, Clean & CPU Cooler

Super Clean – Booster de téléphone, Junk Cleaner & CPU Cooler

Jeux rapides – H5 Game Center

Nettoyant pour fusée

Rocket Cleaner Lite

Speed ​​Clean – Phone Booster, Junk Cleaner & App Manager

LinkWorldVPN

Boîte de jeu H5

Le rapport Trend Micro suggère que ces applications sont originaires de Chine et qu’une fois qu’un utilisateur les a installées, elles se sont connectées à un serveur pour faire des choses comme publier de fausses critiques et se connecter aux comptes que nous avons notés ci-dessus. En outre, ils pourraient amener les utilisateurs à désactiver involontairement le scanner de logiciels malveillants Play Protect Android, entre autres actes néfastes.

Les applications ont été supprimées du Google Play Store, mais assurez-vous de les supprimer si vous les avez toujours sur l’un de vos appareils.

Les chercheurs du Cofense Phishing Defense Center, quant à eux, ont également découvert un effort distinct mais encore plus sinistre – une campagne de phishing ciblant les appareils Android avec des applications Android non signées autorisées sur l’appareil. Selon un nouveau rapport du centre, il s’agit d’un effort pour infecter les appareils avec Anubis, “un malware particulièrement méchant qui était à l’origine utilisé pour le cyber-espionnage et transformé en cheval de Troie bancaire.

«Anubis peut détourner complètement un appareil mobile Android, voler des données, enregistrer des appels téléphoniques et même mettre l’appareil en rançon en chiffrant les fichiers personnels de la victime. Avec les appareils mobiles de plus en plus utilisés dans l’environnement d’entreprise, grâce à la popularité des politiques BYOD, ce malware a le potentiel de causer de graves dommages, principalement aux consommateurs et aux entreprises qui permettent l’installation d’applications non signées. »

Cette campagne malveillante présente aux utilisateurs un e-mail contenant une pièce jointe faisant semblant d’être une facture. Lorsque l’utilisateur ouvre la pièce jointe, un écran lui est demandé pour activer «Google Play Protect». Cependant, après avoir cliqué sur OK, cette approbation accorde à l’application un certain nombre d’approbations secrètes, très mauvaises – tout en ironisant en fait désactiver le vrai Google Play Protect.

Les autres fonctionnalités ainsi activées incluent la possibilité de capturer des captures d’écran, de modifier les paramètres d’administration, d’enregistrer de l’audio, de voler des listes de contacts et de verrouiller l’appareil. Comme si cela ne suffisait pas, il y a aussi un composant ransomware dans cet effort. Un chercheur de Cofense a déclaré à Ars Technica qu’un module de rançongiciel peut être ajouté via cette campagne et activé à distance une fois qu’un attaquant a pris tout ce qu’il veut du téléphone et a décidé de simplement le crypter pour obtenir une rançon.

Consultez le rapport Cofense ici pour obtenir une liste des applications ciblées par cette campagne (c’est une liste assez longue). «Les utilisateurs qui ont configuré leur appareil mobile Android pour recevoir des e-mails liés au travail et permettre l’installation d’applications non signées sont les plus à risque de compromis», conclut le rapport.

«Avec l’utilisation accrue des téléphones Android dans les environnements professionnels, il est important de se défendre contre ces menaces en s’assurant que les appareils sont tenus à jour avec les dernières mises à jour. Limiter les installations d’applications sur les appareils de l’entreprise, ainsi que garantir que les applications sont créées par des développeurs de confiance sur les marchés officiels, peut également contribuer à réduire le risque d’infection. »

