{"id":1155956,"date":"2024-02-19T10:00:28","date_gmt":"2024-02-19T12:00:28","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-cheval-de-troie-android-anatsa-contourne-la-securite-de-google-play-et-etend-sa-portee-a-de-nouveaux-pays\/"},"modified":"2024-02-19T10:00:32","modified_gmt":"2024-02-19T12:00:32","slug":"le-cheval-de-troie-android-anatsa-contourne-la-securite-de-google-play-et-etend-sa-portee-a-de-nouveaux-pays","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-cheval-de-troie-android-anatsa-contourne-la-securite-de-google-play-et-etend-sa-portee-a-de-nouveaux-pays\/","title":{"rendered":"Le cheval de Troie Android Anatsa contourne la s\u00e9curit\u00e9 de Google Play et \u00e9tend sa port\u00e9e \u00e0 de nouveaux pays"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">19 f\u00e9vrier 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Logiciels malveillants\/s\u00e9curit\u00e9 mobile<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Le-cheval-de-Troie-Android-Anatsa-contourne-la-securite-de.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Le cheval de Troie bancaire Android connu sous le nom de <strong>Anatsa<\/strong> a \u00e9largi son champ d&#8217;action pour inclure la Slovaquie, la Slov\u00e9nie et la Tch\u00e9quie dans le cadre d&#8217;une nouvelle campagne observ\u00e9e en novembre 2023.<\/p>\n<p>&#8220;Certains des droppers de la campagne ont r\u00e9ussi \u00e0 exploiter le service d&#8217;accessibilit\u00e9, malgr\u00e9 les m\u00e9canismes am\u00e9lior\u00e9s de d\u00e9tection et de protection de Google Play&#8221;, ThreatFabric <a rel=\"nofollow noopener\" href=\"https:\/\/www.threatfabric.com\/blogs\/anatsa-trojan-returns-targeting-europe-and-expanding-its-reach\" target=\"_blank\">dit<\/a> dans un rapport partag\u00e9 avec The Hacker News.<\/p>\n<p>&#8220;Tous les droppers de cette campagne ont d\u00e9montr\u00e9 leur capacit\u00e9 \u00e0 contourner les param\u00e8tres restreints du service d&#8217;accessibilit\u00e9 dans Android 13.&#8221;  La campagne, au total, implique cinq compte-gouttes avec plus de 100\u00a0000 installations totales.<\/p>\n<p>\u00c9galement connue sous les noms de TeaBot et Toddler, Anatsa est connue pour \u00eatre distribu\u00e9e sous le couvert d&#8217;applications apparemment anodines sur le Google Play Store.  Ces applications, appel\u00e9es droppers, facilitent l&#8217;installation du malware en contournant les mesures de s\u00e9curit\u00e9 impos\u00e9es par Google qui cherchent \u00e0 accorder des autorisations sensibles.<\/p>\n<p>En juin 2023, la soci\u00e9t\u00e9 n\u00e9erlandaise de s\u00e9curit\u00e9 mobile a d\u00e9voil\u00e9 une campagne Anatsa ciblant les clients bancaires aux \u00c9tats-Unis, au Royaume-Uni, en Allemagne, en Autriche et en Suisse au moins depuis mars 2023, \u00e0 l&#8217;aide d&#8217;applications compte-gouttes qui ont \u00e9t\u00e9 collectivement t\u00e9l\u00e9charg\u00e9es plus de 30 000 fois sur le Play Store.<\/p>\n<div class=\"check_two clear bobbob\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/delinea728\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1708012425_568_Les-pirates-informatiques-russes-de-Turla-ciblent-les-ONG-polonaises.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Anatsa est dot\u00e9 de fonctionnalit\u00e9s permettant de prendre le contr\u00f4le total des appareils infect\u00e9s et d&#8217;ex\u00e9cuter des actions au nom d&#8217;une victime.  Il peut \u00e9galement voler des informations d\u2019identification pour lancer des transactions frauduleuses.<\/p>\n<p>La derni\u00e8re it\u00e9ration observ\u00e9e en novembre 2023 n&#8217;est pas diff\u00e9rente dans la mesure o\u00f9 l&#8217;un des compte-gouttes s&#8217;est fait passer pour une application de nettoyage de t\u00e9l\u00e9phone nomm\u00e9e \u00ab Phone Cleaner &#8211; File Explorer \u00bb (nom du package \u00ab com.volabs.androidcleaner \u00bb) et a exploit\u00e9 une technique appel\u00e9e gestion des versions pour introduire son comportement malveillant.<\/p>\n<p>Bien que l&#8217;application ne soit plus disponible au t\u00e9l\u00e9chargement depuis la vitrine officielle pour Android, elle peut toujours \u00eatre t\u00e9l\u00e9charg\u00e9e via d&#8217;autres sources tierces sommaires.<\/p>\n<p>Selon <a rel=\"nofollow noopener\" href=\"https:\/\/www.appbrain.com\/app\/phone-cleaner-file-explorer\/com.volabs.androidcleaner\" target=\"_blank\">statistiques<\/a> Disponible sur la plateforme d&#8217;intelligence des applications AppBrain, l&#8217;application aurait \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9e environ 12 000 fois au cours de sa disponibilit\u00e9 sur le Google Play Store, entre le 13 et le 27 novembre, date \u00e0 laquelle elle n&#8217;\u00e9tait pas publi\u00e9e.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1708344027_938_Le-cheval-de-Troie-Android-Anatsa-contourne-la-securite-de.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1708344027_938_Le-cheval-de-Troie-Android-Anatsa-contourne-la-securite-de.jpg\" alt=\"Cheval de Troie Android Anatsa\" border=\"0\" data-original-height=\"380\" data-original-width=\"728\" title=\"Cheval de Troie Android Anatsa\"\/><\/a><\/div>\n<p>&#8220;Au d\u00e9part, l&#8217;application semblait inoffensive, sans code malveillant et son service d&#8217;accessibilit\u00e9 ne se livrait \u00e0 aucune activit\u00e9 nuisible&#8221;, ont d\u00e9clar\u00e9 les chercheurs de ThreatFabric.<\/p>\n<p>&#8220;Cependant, une semaine apr\u00e8s sa sortie, une mise \u00e0 jour a introduit un code malveillant. Cette mise \u00e0 jour a modifi\u00e9 la fonctionnalit\u00e9 AccessibilityService, lui permettant d&#8217;ex\u00e9cuter des actions malveillantes telles que cliquer automatiquement sur des boutons une fois qu&#8217;il a re\u00e7u une configuration du [command-and-control] serveur.&#8221;<\/p>\n<p>Ce qui rend le compte-gouttes remarquable, c&#8217;est que son abus du service d&#8217;accessibilit\u00e9 est adapt\u00e9 aux appareils Samsung, ce qui sugg\u00e8re qu&#8217;il a \u00e9t\u00e9 con\u00e7u pour cibler exclusivement les combin\u00e9s fabriqu\u00e9s par l&#8217;entreprise \u00e0 un moment donn\u00e9, bien que d&#8217;autres compte-gouttes utilis\u00e9s dans la campagne se soient r\u00e9v\u00e9l\u00e9s ind\u00e9pendants du fabricant. .<\/p>\n<p>Les droppers sont \u00e9galement capables de contourner les param\u00e8tres restreints d&#8217;Android 13 en imitant le processus utilis\u00e9 par les places de march\u00e9 pour installer de nouvelles applications sans que leur acc\u00e8s aux fonctionnalit\u00e9s du service d&#8217;accessibilit\u00e9 soit d\u00e9sactiv\u00e9, comme observ\u00e9 pr\u00e9c\u00e9demment dans le cas de services dropper comme SecuriDropper.<\/p>\n<div class=\"check_two clear bobbob\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/tcepdHrZ\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Le-logiciel-malveillant-Bumblebee-revient-avec-de-nouvelles-astuces-ciblant.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Ces acteurs pr\u00e9f\u00e8rent les attaques concentr\u00e9es sur des r\u00e9gions sp\u00e9cifiques plut\u00f4t que de se propager \u00e0 l&#8217;\u00e9chelle mondiale, changeant p\u00e9riodiquement leur concentration&#8221;, a d\u00e9clar\u00e9 ThreatFabric.  &#8220;Cette approche cibl\u00e9e leur permet de se concentrer sur un nombre limit\u00e9 d&#8217;organismes financiers, ce qui entra\u00eene un nombre \u00e9lev\u00e9 de cas de fraude en peu de temps.&#8221;<\/p>\n<p>Ce d\u00e9veloppement intervient alors que Fortinet FortiGuard Labs a d\u00e9taill\u00e9 une autre campagne qui distribue le cheval de Troie d&#8217;acc\u00e8s \u00e0 distance SpyNote en imitant un service de portefeuille de crypto-monnaie l\u00e9gitime bas\u00e9 \u00e0 Singapour, connu sous le nom d&#8217;imToken, pour remplacer les adresses de portefeuille de destination par des adresses contr\u00f4l\u00e9es par des acteurs et effectuer des transferts d&#8217;actifs illicites.<\/p>\n<p>&#8220;Comme beaucoup de malware Android aujourd&#8217;hui, ce malware abuse de l&#8217;API d&#8217;accessibilit\u00e9&#8221;, chercheuse en s\u00e9curit\u00e9 Axelle Apvrille <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/android-spynote-moves-to-crypto-currencies\" target=\"_blank\">dit<\/a>.  &#8220;Cet exemple SpyNote utilise l&#8217;API d&#8217;accessibilit\u00e9 pour cibler les c\u00e9l\u00e8bres portefeuilles cryptographiques.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/02\/anatsa-android-trojan-bypasses-google.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80219 f\u00e9vrier 2024\ue804R\u00e9dactionLogiciels malveillants\/s\u00e9curit\u00e9 mobile Le cheval de Troie bancaire Android connu sous le nom de Anatsa a \u00e9largi son champ d&#8217;action pour inclure la Slovaquie, la Slov\u00e9nie et la Tch\u00e9quie dans le cadre d&#8217;une nouvelle campagne observ\u00e9e en novembre 2023. &#8220;Certains des droppers de la campagne ont r\u00e9ussi \u00e0 exploiter le service d&#8217;accessibilit\u00e9, malgr\u00e9 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1155957,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,170851,8738,7968,4168,23640,4165,4161,200267,2432,7755,4159,4171,200271,200268,4588,200269,200270,1480,8917,273,1835,128318,4172,4169,8915,4166,4164],"class_list":["post-1155956","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-anatsa","tag-android","tag-cheval","tag-comment-pirater","tag-contourne","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-etend","tag-google","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-nouveaux","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-pays","tag-play","tag-portee","tag-securite","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-troie","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1155956","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1155956"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1155956\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1155957"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1155956"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1155956"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1155956"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}