Malware dangereux dans une lampe de poche sur Google Play

Une app contenant une version modifiée du ransomware Charger s’est glissée dans Google Play et a été téléchargée au moins 5 000 fois.

La version antérieure de Charger avait été détectée en janvier de cette année. Ce ransomware, qui exigeait le versement d’une rançon de 0,2 bitcoin pour débloquer l’appareil, se cachait dans EnergyRescue, un utilitaire de gestion de la batterie diffusé via Google Play.

La nouvelle version du malware était dissimulée dans l’app lampe de poche d’apparence légitime Flashlight LED Widget. A la différence de la version antérieure, l’obtention d’une rançon pour le déblocage de l’écran d’accueil de l’appareil n’était pas l’objectif du malware.

La version actualisée de Charger fonctionne sur toutes les versions Android et est capable de dissimuler sa véritable identité. Il affiche des écrans de phishing qui imitent les fonctions d’apps légitimes, intercepte les messages SMS et verrouille temporairement l’appareil afin d’éviter les tentatives d’interruption des processus malveillants.

Lors de l’installation, le malware exige les autorisations d’administrateur et l’autorisation pour superposer son écran sur celui d’autres apps (sous Android 6.0 et suivants).

La nouvelle version, qui a reçu le nom de code Charger.B, communique avec le serveur de commande via Firebase Cloud Messages (FCM). Le malware envoie au serveur une photo de l’utilisateur prise à l’aide de la caméra frontale. Les chercheurs supposent que la nouvelle version de Charger ne dispose pas d’une liste figée d’apps bancaire à attaquer.

Sur la base de la liste des apps installées sur l’appareil infecté, le serveur de commande imite l’activité correspondante et envoie un code HTML malveillant à l’appareil. Ce code est exécuté par WebView après le lancement de l’application attaquée. L’utilisateur voit un faux écran qui l’invite à saisir les données de sa carte de crédit ou les données d’accès au service de banque électronique.

Les chercheurs ont détecté des cas d’attaques contre des clients de Commbank, Nab et Westpac Mobile Banking ainsi que contre des utilisateurs de Facebook, WhatsApp, Instagram et Google Play. Cette souplesse au niveau des fonctions permet d’organiser des attaques contre n’importe quelle application.

Le verrouillage du smartphone n’est qu’une diversion qui doit occuper l’utilisateur pendant que les individus malintentionnés vident son compte. Les victimes voient un faux écran qui indique qu’une mise à jour est en cours d’installation et que pour cette raison, le téléphone est inutilisable.

Charger.B a été détecté par des analystes de l’ESET. Ils ont prévenu Google qui a rapidement éliminé l’application du magasin.

Source : Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *