Un chercheur a découvert un nouveau malware d’application sur Google Play qui vole votre argent

Maxime Ingrao, chercheur en sécurité dans une société de cybersécurité Veillea découvert une nouvelle famille de logiciels malveillants pouvant infecter les applications Android sur Google Play.

Il s’appelle Autolycos — de l’homonyme Figure mythologique grecque, connu pour sa maîtrise du vol et de la tromperie. Et c’est exactement ce que fait le malware.

Depuis juin 2021, Ingrao a identifié huit applications infectées sur Play Store – téléchargées plus de trois millions de fois.

Découverte d’une nouvelle famille de logiciels malveillants qui s’abonnent à des services premium 👀

8 applications depuis juin 2021, 2 applications toujours sur Play Store, +3M d’installations 💀💀

Aucune vue Web comme #Joker mais uniquement les requêtes http

Appelons-le #Autolycos 👾#Android #Malware #Evina pic.twitter.com/SgTfrAOn6H

– Maxime Ingrao (@IngraoMaxime) 13 juillet 2022

Comment fonctionne Autolycos ?

Salutations, nerd de la technologie !

Vous aimez les gadgets ? Et les applis ? Et d’autres trucs tech cool? Alors cette newsletter hebdomadaire est faite pour vous.

Selon Le rapport d’Evinales principaux objectifs d’Autolycos sont d’abonner les utilisateurs à des services premium de facturation directe par l’opérateur (DCB), à leur insu ou sans leur consentement.

Contrairement à le malware Joker qui lance un navigateur invisible et utilise Webview, Autolycus lance des tentatives de fraude en exécutant des requêtes http sans utiliser de navigateur.

Pour certaines étapes, il peut exécuter les urls sur un navigateur distant et intégrer les résultats dans les requêtes http.

Voici comment Autolycos peut accéder à un code PIN de vérification en lisant les notifications d’un téléphone :

Le mode de fonctionnement du logiciel malveillant rend difficile pour Google de différencier les applications infectées des applications légitimes. C’est pourquoi il n’a pas été détecté pendant si longtemps.

Pour escroquer autant d’utilisateurs que possible, les cybercriminels derrière les Autolycos font la promotion des applications sur les pages Facebook et exécutent des applications Facebook et Instagram.

Ingrao a identifié 74 campagnes publicitaires pour l’une des applications infectées : l’application Razer Keyboard & Theme.

Pour promouvoir les applications, les fraudeurs créent plusieurs pages Facebook et diffusent des publicités sur Facebook et Instagram.

Par exemple, il y a eu 74 campagnes publicitaires pour les logiciels malveillants Razer Keyboard & Theme pic.twitter.com/lLl9faZjQI

– Maxime Ingrao (@IngraoMaxime) 13 juillet 2022

Des traces ont également été trouvées en Asie et dans divers pays européens, dont l’Espagne, l’Autriche, la Pologne et l’Allemagne, indiquant une expansion alarmante.

Quelles sont les applications infectées ?

Evina et Ingao ont partagé une liste avec les huit applications où le malware a été trouvé :

1. Clavier et thème Razer – 10 000+ téléchargements
2. Éditeur vidéo Vlog Star — 1 000 000+ téléchargements
3. Appareil photo drôle – 500 000+ téléchargements
4. Caméra Coco — 1 000+ téléchargements
5. Lanceur 3D créatif — 1 000 000+ téléchargements
6. Clavier GIF — 100 000+ téléchargements
7. Caméra Freeglow – 5 000+ téléchargements
8. Caméra Wow — 100,00+ téléchargements

Fait intéressant, Ingao a dit BipOrdinateur qu’il a déjà informé Google en juin 2021. Bien que la société ait reconnu avoir reçu le rapport, il a fallu six mois ridiculement longs pour supprimer le premier ensemble de six applications, ce qui a conduit le chercheur à rendre public sur Twitter.

Le 13 juillet, Google a supprimé les deux derniers : Funny Camera et Razer Keyboard & Theme. Si vous voulez vérifier à quoi ressemblaient les applications, vous pouvez les trouver dans Le rapport d’Evira.

J’ai découvert, cependant, une application qui ressemble étrangement à l’éditeur vidéo Vlog Star supprimé.

Il partage exactement la même image et la même description, sauf que maintenant il s’appelle Vlog Star Video Maker.

Regarde:

Cela signifie que même si les personnes identifiéesapplications ont été supprimés, nous devons être vigilants car les fraudeurs à l’origine du logiciel malveillant pourraient continuer à introduire des applications infectées.

Comment se protéger

Il n’existe pas de stratégie à l’épreuve des balles pour éviter les logiciels malveillants d’application, mais vous pouvez suivre quelques étapes simples :

1. N’autorisez pas les applications à lire le contenu de vos SMS lors de l’installation. Vérifiez également les autorisations de partage de données tierces.
2. Lisez les avis !
3. Donjon Jouer à protéger actif.
4. Ne téléchargez aucune application à la légère.
5. Supprimez les applications que vous n’utilisez plus.