Une nouvelle campagne d’infection vise les utilisateurs et utilisatrices d’Android à travers des applications piégées sur le Play Store. Le rapport publié par Zscaler met en avant le rôle du trojan bancaire Anatsa et soulève de nouvelles inquiétudes sur l’efficacité des contrôles de sécurité de Google.
- Une campagne d'infection cible les utilisateurs d'Android via des applications malveillantes sur le Play Store.
- Le trojan bancaire Anatsa a été identifié, compromettant des millions d'installations d'applications apparemment innocentes.
- Pour se protéger, vérifiez régulièrement les autorisations des applications et maintenez votre appareil à jour.
Zscaler ThreatLabz vient de publier une nouvelle étude sur les campagnes d’infection visant Android via des applications distribuées sur le Google Play Store. Le rapport pointe notamment Anatsa, un trojan bancaire particulièrement actif, mais révèle surtout que Google a dû retirer des dizaines d’applications de sa boutique officielle. En tout, ces apps vérolées ont été installées plus de 19 millions de fois avant d’être signalées, exposant leurs utilisateurs et utilisatrices à un risque réel de fraude bancaire.
77 apps piégées et 19 millions de personnes potentiellement exposées
Sous leurs airs d’applications somme toute banales, ces lecteurs de documents, gestionnaires de fichiers ou utilitaires ont réussi à se faire une place dans le Play Store. Interface soignée, fonctionnalités crédibles, descriptions bien travaillées, rien ne laissait penser qu’il ait pu s’agir de malwares en embuscade. Résultat, certaines ont franchi sans difficulté la barre des 50 000 installations, contribuant à un total de plus de 19 millions de téléchargements au moment de l’enquête menée par Zscaler.
Derrière une partie de ces apps, on retrouve Anatsa, un trojan bancaire qui ne cesse d’affiner ses méthodes. Déjà connu pour ses attaques contre les utilisateurs et utilisatrices de services financiers, il s’intéresse désormais à plus de 800 applications bancaires, plateformes crypto et services de paiement dans le monde, avec une forte activité en Europe.
Le malware embarque à présent un keylogger plus avancé et dissimule son code dans des archives APK volontairement corrompues ou des fichiers JSON afin de compliquer son analyse. Il vérifie aussi l’environnement dans lequel il s’exécute pour détecter les émulateurs et les outils de sécurité, et ainsi éviter d’être repéré. Une fois installé, Anatsa demande l’accès aux services d’accessibilité. S’il obtient l’autorisation, il active alors automatiquement l’ensemble des permissions déclarées dans l’application, y compris la lecture et la réception des SMS ou la superposition d’écrans. Ces accès lui permettent notamment d’afficher des interfaces factices ou d’intercepter les informations saisies par la cible.
Pour récupérer les identifiants, Anatsa télécharge ensuite depuis son serveur des fausses pages de connexion, conçues pour imiter les applications bancaires ou crypto détectées sur l’appareil de la victime. Les chercheurs ont également identifié d’autres familles de malwares dans ces campagnes, notamment Joker et Harly, qui utilisent des techniques similaires pour dérober données personnelles et codes d’authentification.
Comment limiter les risques face aux apps malveillantes
Si Google a confirmé avoir supprimé les applications incriminées du Play Store, celles déjà installées sur les appareils Android piégés sont toujours fonctionnelles et continuent de présenter un risque. Une campagne qui souligne aussi les limites des contrôles de sécurité de Google, qui n’ont pas détecté ces apps malgré des millions de téléchargements. Hélas, le rapport de Zscaler ne précise pas les noms des applications concernées, ce qui complique la tâche des utilisateurs et utilisatrices pour les identifier. Dans le doute, mieux vaut examiner manuellement les apps installées sur son appareil et prêter une attention particulière à celles qui sont peu connues ou distribuées par des éditeurs obscurs.
Il est également recommandé de contrôler régulièrement les autorisations accordées aux applications, notamment celles liées aux SMS, aux superpositions d’écran ou aux services d’accessibilité, souvent exploitées par les malwares. En cas de doute sur une appli, il est préférable de la désinstaller immédiatement.
Vous pouvez aussi réduire les risques en maintenant Android et vos applications à jour. Le nombre de téléchargements peut éventuellement peser dans la balance, mais comme l’a démontré cette campagne, il n’est pas non plus toujours un indicateur fiable. À croiser avec d’autres éléments, donc, comme l’identité du développeur, les avis détaillés laissés par d’autres internautes, et la réputation générale de l’appli.
Enfin, un antivirus mobile peut aider à repérer les menaces connues, et certains VPN proposent désormais des filtres intégrés contre les sites frauduleux et les applications malveillantes.
Source : Zscaler
