Plus de 90 applications Android malveillantes avec 5,5 millions d’installations trouvées sur Google Play

Plus de 90 applications Android malveillantes ont été trouvées installées plus de 5,5 millions de fois via Google Play pour diffuser des logiciels malveillants et publicitaires, le cheval de Troie bancaire Anatsa ayant récemment connu une forte augmentation de son activité.

Anatsa (alias « Teabot ») est un cheval de Troie bancaire qui cible plus de 650 applications d’institutions financières en Europe, aux États-Unis, au Royaume-Uni et en Asie. Il tente de voler les identifiants bancaires électroniques des personnes afin d’effectuer des transactions frauduleuses.

En février 2024, Threat Fabric a rapporté que depuis la fin de l’année dernière, Anatsa avait réalisé au moins 150 000 infections via Google Play en utilisant diverses applications leurres dans la catégorie des logiciels de productivité.

Aujourd’hui, Zscaler rapporte qu’Anatsa est de retour sur la boutique d’applications officielle d’Android et est désormais distribué via deux applications leurres : « PDF Reader & File Manager » et « QR Reader & File Manager ».

Au moment de l’analyse de Zscaler, les deux applications avaient déjà accumulé 70 000 installations, ce qui démontre le risque élevé que des applications malveillantes de type compte-gouttes passent entre les mailles du filet du processus d’examen de Google.

Une chose qui aide les applications compte-gouttes Anatsa à échapper à la détection est le mécanisme de chargement de la charge utile en plusieurs étapes qui implique quatre étapes distinctes :

• L’application Dropper récupère la configuration et les chaînes essentielles du serveur C2
• Le fichier DEX contenant un code compte-gouttes malveillant est téléchargé et activé sur l’appareil
• Le fichier de configuration avec l’URL de charge utile Anatsa est téléchargé
• Le fichier DEX récupère et installe la charge utile du malware (APK), complétant ainsi l’infection

Le fichier DEX effectue également des contrôles anti-analyse pour garantir que le logiciel malveillant ne sera pas exécuté sur des bacs à sable ou des environnements d’émulation.

Une fois qu’Anatsa est opérationnel sur l’appareil nouvellement infecté, il télécharge la configuration du robot et les résultats de l’analyse de l’application, puis télécharge les injections qui correspondent à l’emplacement et au profil de la victime.

Autres menaces Google Play

Zscaler rapporte qu’au cours des deux derniers mois, il a également découvert plus de 90 applications malveillantes sur Google Play, qui ont été collectivement installées 5,5 millions de fois.

La plupart des applications malveillantes usurpaient l’identité d’outils, d’applications de personnalisation, d’utilitaires de photographie, de productivité et d’applications de santé et de remise en forme.

Les cinq familles de logiciels malveillants qui dominent la scène sont Joker, Facestealer, Anatsa, Coper et divers logiciels publicitaires.

Bien qu’Anatsa et Coper ne représentent que 3 % du total des téléchargements malveillants sur Google Play, ils sont bien plus dangereux que les autres, capables de commettre des fraudes sur les appareils et de voler des informations sensibles.

Lors de l’installation de nouvelles applications sur Google Play, vérifiez les autorisations demandées et refusez celles associées aux activités à haut risque telles que le service d’accessibilité, les SMS et la liste de contacts.

Les chercheurs n’ont pas divulgué les noms des plus de 90 applications ni si elles avaient été signalées à Google pour retrait.

Cependant, au moment d’écrire ces lignes, les deux applications compte-gouttes Anatsa découvertes par Zscaler ont été supprimées de Google Play.