Kaspersky a découvert une nouvelle version du malware Necro sur le Google Play Store. Caché dans deux applications Android légitimes, il a infecté plus de 11 millions d’utilisateurs dans le monde. Le virus utilise des techniques sophistiquées pour dissimuler ses activités frauduleuses.
Kaspersky a découvert une nouvelle version d’un malware connu sur le Google Play Store. Baptisé Necro, le virus fait partie des « loader ». Il s’agit d’un logiciel malveillant conçu pour infiltrer un système et charger d’autres logiciels malveillants. Le virus s’est déjà fait remarquer en 2019 en infectant plus de 100 millions de smartphones Android.
Pour pénétrer sur le smartphone des victimes, le virus se présente aussi comme un cheval de Troie, ou « Trojan » en anglais. En clair, le malware se déguise en application inoffensive afin de duper les internautes. En l’occurrence, Necro s’est caché dans le code de deux applications du Play Store.
Onze millions de téléchargements sur le Play Store
Comme l’indique Kaspersky, ces deux applications vérolées ont été installées par un total de 11 millions d’utilisateurs. Le virus a d’abord été décelé dans le code de Wuta Camera de Benqu, une app d’édition de photo. Le malware est apparu dans la version 6.3.2.148 de l’application, indique le rapport des chercheurs russes. Il est resté tapis dans le code de l’app jusqu’à la sortie de la version 6.3.7.138.
Wuta Camera cumulait à elle seule dix millions de téléchargements. Sous l’impulsion de Kaspersky, le développeur a mis à jour l’application pour purger le code du malware. Malgré les mesures prises par Google et Kaspersky, les logiciels malveillants installés via les anciennes versions pourraient toujours être présents sur les appareils Android.
On trouve ensuite Max Browser du développeur WA message recover-wamr, un navigateur web pour mobile. Avant que Google ne supprime l’application, celle-ci avait cumulé un million de téléchargements sur la plateforme. Là encore, on peut craindre que les virus installés avant la suppression de l’app soient toujours présents sur les téléphones infectés. Notez que la France fait partie des pays touchés par Necro. Néanmoins, la Russie, le Brésil et le Vietnam s’imposent parmi les pays cumulant le plus d’infections.
Un SDK publicitaire malveillant au cœur de l’attaque
Pour pénétrer au sein des applications à l’insu de leurs développeurs, Necro s’est glissé dans un SDK publicitaire (ou Software Development Kit publicitaire), un ensemble d’outils et de bibliothèques que les développeurs intègrent dans leurs applications pour afficher des publicités.
Le SDK, baptisé Coral SDK, a multiplié les stratégies pour cacher ses véritables intentions. Les cybercriminels à l’origine de l’opération ont notamment obscurci le code du SDK. Cette pratique consiste à rendre le code d’un logiciel difficile à comprendre ou à analyser pour les experts en sécurité ou les antivirus. L’obscurcissement cache la véritable nature du programme malveillant en le rendant plus complexe que nécessaire.
Par ailleurs, les pirates ont utilisé la stéganographie d’image. Ils ont en effet caché des instructions dans des images au format PNG. En surface, ces images semblent normales, mais elles contiennent en réalité des instructions malveillantes que le SDK doit exécuter. C’est « une technique très rare pour les logiciels malveillants mobiles », note Kaspersky. C’est de cette manière que Necro a pu tromper la vigilance des développeurs et se retrouver sur le Play Store dans des applications légitimes.
Des publicités invisibles et des abonnements frauduleux
Une fois installé sur le smartphone des utilisateurs, Necro télécharge discrètement une panoplie de logiciels malveillants. Le malware installe d’abord un logiciel publicitaire capable d’afficher des publicités invisibles sans que l’utilisateur s’en rende compte. Cela permet aux cybercriminels de générer des revenus publicitaires frauduleux. Il ajoute aussi des outils spécialement conçus pour faciliter la fraude aux abonnements. Ces outils s’assurent que l’utilisateur soit inscrit à des services payants sans son consentement. Ils peuvent simuler des clics sur des boutons ou remplir automatiquement des formulaires d’abonnement en arrière-plan. La victime se retrouve alors obligée de régler des abonnements auxquels elle n’a pas souscrit.
Enfin, Necro peut transformer les appareils infectés en proxys. En d’autres termes, le malware va se servir de votre smartphone comme intermédiaire pour acheminer du trafic malveillant, comme des attaques ou des communications illégales, à votre insu.
C’est loin d’être la première fois que le Google Play Store laisse passer des applications Android malveillantes. En dépit des efforts déployés par Google, on trouve encore régulièrement des applications cachant des malwares sur la boutique. Il y a quelques mois, des chercheurs ont trouvé plusieurs types de logiciels malveillants, à commencer par le redoutable virus Anatsa, dans plus de 90 apps distribuées sur le Play Store.
C’est pourquoi on vous recommande de ne pas télécharger d’applications provenant de sources méconnues et de consulter scrupuleusement tous les commentaires en amont. Bien souvent, les commentaires permettent de déceler la supercherie. Dans cas-ci, il n’y avait cependant pas grand-chose que les utilisateurs pouvaient faire pour échapper à Necro… Dans le cadre de cette attaque, les utilisateurs doivent toutefois prendre des mesures.
En dehors du Play Store
Comme le souligne Kaspersky, le malware se propage aussi en dehors du Play Store. Les chercheurs en sécurité ont découvert le virus dans des APK proposés sur des sites non officiels. Il s’est notamment caché dans le code de versions modifiées de WhatsApp, de Spotify ou de Minecraft.
C’est pourquoi « le nombre réel d’appareils infectés pourrait être beaucoup plus élevé, étant donné que le cheval de Troie a également infiltré des versions modifiées d’applications populaires distribuées par le biais de sources non officielles », souligne le rapport de Kaspersky. C’est grâce à la version malveillante de Spotify que Kaspersky a découvert la présence de Necro sur des applications modifiées, et, un plus tard, sur le Play Store.
Source : Kapersky, 1net