ActualitésLe malware Necro a compromis 11 millions de smartphones...

Le malware Necro a compromis 11 millions de smartphones Android via le Play Store

-

Kaspersky a récemment mis au jour une nouvelle version du malware Necro sur le Google Play Store. Discret dans deux applications Android légitimes, ce malware a infecté plus de 11 millions d’utilisateurs à travers le monde. Doté de techniques sophistiquées, il parvient à dissimuler ses activités frauduleuses de manière très efficace.

Sommaire

Qu’est-ce que le malware Necro ?

Kaspersky a identifié une nouvelle version de ce malware connu sur le Google Play Store. Nommé Necro, ce virus appartient à la catégorie des “loaders”, des logiciels malveillants conçus pour infiltrer un système et y charger d’autres menaces. Ce malware s’est déjà illustré en 2019 en infectant plus de 100 millions de smartphones Android.

Pour infiltrer les smartphones des victimes, Necro se présente sous la forme d’un cheval de Troie, ou “Trojan”. Concrètement, il se camoufle en une application inoffensive pour tromper les utilisateurs. Dans ce cas précis, le malware a été dissimulé dans le code de deux applications disponibles sur le Play Store.

Un impact considérable : 11 millions de téléchargements

Selon les informations fournies par Kaspersky, les deux applications infectées ont été téléchargées par un total de 11 millions d’utilisateurs. Le virus a été initialement détecté dans le code de Wuta Camera, une application d’édition photo développée par Benqu. La version concernée est la 6.3.2.148, et le malware est resté caché jusqu’à la mise à jour vers la version 6.3.7.138.

Wuta Camera a à elle seule enregistré dix millions de téléchargements. Suite à l’intervention de Kaspersky, le développeur a rapidement mis à jour l’application pour éliminer le code malveillant. Malgré cela, les utilisateurs ayant installé des versions antérieures pourraient toujours avoir des logiciels malveillants sur leurs appareils Android.

Le deuxième cas concerne Max Browser, un navigateur mobile développé par WA Message Recover-WAMR, qui a également accumulé un million de téléchargements avant d’être retiré par Google. Les craintes persistent quant à la présence de virus sur les smartphones ayant installé cette application avant son retrait. Des pays comme la France sont touchés par Necro, mais des pays tels que la Russie, le Brésil et le Vietnam se distinguent par un nombre élevé d’infections.

La méthode d’infiltration : un SDK publicitaire malveillant

Necro a réussi à s’introduire dans des applications sans que leurs développeurs en aient connaissance grâce à un SDK publicitaire, ou Software Development Kit. Cet ensemble d’outils et de bibliothèques est habituellement intégré par les développeurs pour afficher des publicités au sein de leurs applications.

Le SDK malveillant, nommé Coral SDK, a utilisé diverses stratégies pour masquer ses véritables intentions. Les cybercriminels derrière cette opération ont notamment obscurci le code du SDK, rendant ainsi difficile l’analyse par des experts en sécurité ou des antivirus. Cette obscurcissement cache la nature réelle du programme malveillant en le rendant plus complexe que nécessaire.

De plus, les pirates ont eu recours à la stéganographie d’image. Ils ont dissimulé des instructions malveillantes dans des images au format PNG, qui, bien qu’apparemment normales, contiennent en réalité des directives que le SDK doit exécuter. Cette méthode est décrite par Kaspersky comme étant rare pour des logiciels malveillants mobiles. C’est ainsi que Necro a pu tromper la vigilance des développeurs et se retrouver sur le Play Store dans des applications réputées sûres.

Publicités invisibles et abonnements frauduleux

Une fois installé sur le smartphone des utilisateurs, Necro commence à télécharger discrètement une variété de logiciels malveillants. Le malware installe d’abord un programme publicitaire capable d’afficher des publicités invisibles, permettant ainsi aux cybercriminels de générer des revenus frauduleux sans que l’utilisateur s’en aperçoive. En outre, il ajoute des outils spécifiquement conçus pour faciliter la fraude liée aux abonnements. Ces outils garantissent que l’utilisateur s’inscrive à des services payants sans en être conscient, en simulant des clics sur des boutons ou en remplissant automatiquement des formulaires d’abonnement en arrière-plan. En conséquence, la victime se retrouve à devoir payer des abonnements auxquels elle n’a pas consenti.

Enfin, Necro peut transformer les appareils infectés en proxys. Autrement dit, le malware utilise le smartphone de l’utilisateur comme intermédiaire pour acheminer du trafic malveillant, tel que des attaques ou des communications illégales, sans son consentement.

Une récurrence des applications malveillantes sur le Play Store

Ce n’est pas la première fois que le Google Play Store laisse passer des applications Android malveillantes. Malgré les efforts déployés par Google pour sécuriser la plateforme, des applications cachant des malwares continuent d’y apparaître régulièrement. Par exemple, il y a quelques mois, des chercheurs ont découvert plusieurs types de logiciels malveillants, y compris le redoutable virus Anatsa, dans plus de 90 applications distribuées sur le Play Store.

Il est donc conseillé aux utilisateurs de se méfier des applications provenant de sources peu fiables et de lire attentivement tous les commentaires avant de procéder à un téléchargement. Ces commentaires peuvent souvent révéler des indices sur des comportements malveillants. Cependant, dans le cas de Necro, il y avait peu de choses que les utilisateurs pouvaient faire pour éviter d’être piégés. Les chercheurs recommandent aux utilisateurs ayant installé l’une des applications compromises de mettre à jour vers une version où le code malveillant a été retiré ou de la désinstaller complètement.

Propagation du malware en dehors du Play Store

Kaspersky souligne également que le malware se propage en dehors du Play Store. Les chercheurs ont trouvé Necro dans des fichiers APK disponibles sur des sites non officiels. Il a été particulièrement actif dans des versions modifiées d’applications populaires telles que WhatsApp, Spotify ou Minecraft.

Cela signifie que le nombre réel d’appareils infectés pourrait être bien supérieur aux 11 millions signalés, car Necro a également infiltré des applications distribuées par le biais de sources non officielles. Kaspersky a d’ailleurs découvert la version malveillante de Spotify lors de son enquête, ce qui a conduit à la détection de Necro dans d’autres applications, y compris celles présentes sur le Play Store.

Actualité

ChatGPT : un allié inattendu pour les cybercriminels ?

ChatGPT, cet outil révolutionnaire qui facilite la vie de nombreux utilisateurs, est désormais au cœur d’une controverse. Alors qu’il...

Garmin dévoile ses nouvelles montres connectées pour les amateurs de golf

Garmin élargit son offre pour les passionnés de golf avec deux nouvelles montres connectées et deux accessoires innovants. Ces...

Ledger : le récit glaçant du kidnapping de David Balland, cofondateur de l’entreprise

David Balland, cofondateur de l’entreprise française Ledger, spécialisée dans le stockage de cryptomonnaies, a été victime d’un enlèvement spectaculaire...

Google améliore Gemini sur Pixel avec des conversations en temps réel

Google continue de perfectionner son intelligence artificielle Gemini, désormais enrichie de nouvelles fonctionnalités. Ces avancées, qui seront dans un...

VeritaTrust : le système d’avis en ligne le plus précis propulsé par la Blockchain et l’IA

Transformer les avis en ligne avec la Blockchain et l'IA Les avis en ligne sont devenus essentiels pour les entreprises...

La 6G en approche : ce que cela signifie pour nos appareils connectés

L’arrivée imminente de la 6G, successeur naturel de la 5G, suscite des interrogations majeures dans le domaine des technologies...

Populaires

Comment contacter le service client Vinted ?

Vinted : le service client Vinted est un dressing virtuel...

Comment nettoyer votre clavier sans l’endommager ?

Optimiser le nettoyage de votre clavier Si vous utilisez souvent...