Un nouvel ensemble d’applications trojanisées diffusées via le Google Play Store a été observé distribuant le célèbre malware Joker sur des appareils Android compromis.
Joker, un récidiviste, fait référence à une classe d’applications nuisibles utilisées pour la facturation et la fraude par SMS, tout en effectuant un certain nombre d’actions au choix d’un pirate informatique malveillant, telles que le vol de SMS, de listes de contacts et d’informations sur l’appareil.
Malgré les tentatives continues de la part de Google pour renforcer ses défenses, les applications ont été continuellement itérées pour rechercher des lacunes et se glisser dans l’App Store sans être détectées.
« Ils sont généralement diffusés sur Google Play, où les escrocs téléchargent des applications légitimes à partir du magasin, y ajoutent du code malveillant et les téléchargent à nouveau dans le magasin sous un nom différent », a déclaré le chercheur de Kaspersky, Igor Golovin. mentionné dans un rapport publié la semaine dernière.
Les applications trojanisées, remplaçant leurs homologues supprimées, apparaissent souvent comme des applications de messagerie, de suivi de la santé et de numérisation PDF qui, une fois installées, demandent des autorisations pour accéder aux messages texte et aux notifications, les abusant pour abonner les utilisateurs à des services premium.
Une astuce sournoise utilisée par Joker pour contourner le processus de vérification de Google Play consiste à rendre sa charge utile malveillante « dormante » et à n’activer ses fonctions qu’après la mise en ligne des applications sur le Play Store.
Trois des applications infectées par Joker détectées par Kaspersky jusqu’à fin février 2022 sont répertoriées ci-dessous. Bien qu’ils aient été supprimés de Google Play, ils sont toujours disponibles auprès de fournisseurs d’applications tiers.
- Message de style (com.stylelacat.messagearound),
- Application de pression artérielle (blood.maodig.raise.bloodrate.monitorapp.plus.tracker.tool.health) et
- Scanner PDF de l’appareil photo (com.jiao.hdcam.docscanner)
Ce n’est pas la première fois que des chevaux de Troie d’abonnement sont découverts sur les marchés d’applications. L’année dernière, des applications pour l’App Store APKPure et un mod WhatsApp largement utilisé ont été trouvés compromis par un logiciel malveillant appelé Triada.
Puis, en septembre 2021, Zimperium a mis fin à un programme agressif appelé GriftHorse, suivi d’un autre cas d’abus de service premium appelé Dark Herring plus tôt en janvier.
« Les chevaux de Troie d’abonnement peuvent contourner la détection des bots sur les sites Web pour les services payants, et parfois ils abonnent les utilisateurs aux propres services inexistants des escrocs », a déclaré Golovin.
« Pour éviter les abonnements indésirables, évitez d’installer des applications à partir de sources non officielles, qui sont la source la plus fréquente de logiciels malveillants. »
Même lors du téléchargement d’applications à partir de magasins d’applications officiels, les utilisateurs sont invités à lire les critiques, à vérifier la légitimité des développeurs, les conditions d’utilisation et à n’accorder que les autorisations essentielles pour exécuter les fonctions prévues.