En perfectionnant leur compte-goutte pour échapper aux défenses de Google Play, les hackers ont pu téléchargé 300 000 banking trojan via la plateforme. Et ce, en seulement quatre mois.
Réduire l’empreinte des applications compte-goutte pour mieux infecter les appareils
Face au système de défense de Google Play, les acteurs de menaces tentent de trouver un moyen de contourner la sécurité. Des groupes de menace ont travaillé à améliorer les techniques d’attaque en réduisant notamment l’empreinte de leurs applications compte- goutte.
Un compte-goutte désigne une application malveillante qui télécharge sournoisement un Malware sur l’appareil de l’utilisateur à son insu. Ici, les compte-goutte téléchargeaient des baking trojan (cheval de Troie bancaire) qui peuvent entre autres voler les données bancaires de l’utilisateur.
Pour passer à travers la défense de Google Play, les hackers ont supprimé les demandes d’autorisation. Ils ont par ailleurs développé des codes plus performants en plus de créer des sites back-ends plus crédibles.
Selon les chercheurs en cybersécurité de Threat Fabric, les acteurs de menaces activent manuellement l’installation des banking trojan, uniquement en cas de besoin. Ce mode de fonctionnement rend la détection des Malwares encore plus difficile.
Quatre familles de Malwares impliquées dans les infections
En quatre mois, les chercheurs évoquent jusqu’à 300 000 infections de compte-gouttes de baking trojan. L’ensemble de ces infections implique quatre familles de Malwares. Il s’agit d’Anasta, Hydra, Ermac et Alien.
Avec plus de 200 000 installations, Anasta a été observée pour la première fois en janvier 2021. Ce cheval de Troie polyvalent vole les identifiants, enregistre les frappes et capture les contenus affichés à l’écran.
Les compte-goutte d’Anasta ont pris plusieurs formes : fausse application de QR code, scanner PDF, application de cryptomonnaie, etc. Les acteurs de menaces ont développé au moins six compte-gouttes pour cette famille de banking trojan.
De fausses applications de QR code ont également permis de distribuer les logiciels malveillants Hydra et Ermac. Pour Alien, les acteurs de la menace ont utilisé une application compte-gouttes appelée GymDrop. Cette dernière envoie des demandes de mise à jour pour amener les victimes à télécharger ce cheval de Troie bancaire.
Google Play continue d’être réactif dans son approche pour éliminer ces acteurs malveillants. Mais la protection est limitée. En face, les hackers ne cessent de perfectionner les techniques pour contourner les défenses en tirant notamment parti de ces limites de sécurité.
- Partager l'article :