Kaspersky a récemment mis au jour une nouvelle version du malware Necro sur le Google Play Store. Discret dans deux applications Android légitimes, ce malware a infecté plus de 11 millions d’utilisateurs à travers le monde. Doté de techniques sophistiquées, il parvient à dissimuler ses activités frauduleuses de manière très efficace.
Sommaire
Qu’est-ce que le malware Necro ?
Kaspersky a identifié une nouvelle version de ce malware connu sur le Google Play Store. Nommé Necro, ce virus appartient à la catégorie des “loaders”, des logiciels malveillants conçus pour infiltrer un système et y charger d’autres menaces. Ce malware s’est déjà illustré en 2019 en infectant plus de 100 millions de smartphones Android.
Pour infiltrer les smartphones des victimes, Necro se présente sous la forme d’un cheval de Troie, ou “Trojan”. Concrètement, il se camoufle en une application inoffensive pour tromper les utilisateurs. Dans ce cas précis, le malware a été dissimulé dans le code de deux applications disponibles sur le Play Store.
Un impact considérable : 11 millions de téléchargements
Selon les informations fournies par Kaspersky, les deux applications infectées ont été téléchargées par un total de 11 millions d’utilisateurs. Le virus a été initialement détecté dans le code de Wuta Camera, une application d’édition photo développée par Benqu. La version concernée est la 6.3.2.148, et le malware est resté caché jusqu’à la mise à jour vers la version 6.3.7.138.
Wuta Camera a à elle seule enregistré dix millions de téléchargements. Suite à l’intervention de Kaspersky, le développeur a rapidement mis à jour l’application pour éliminer le code malveillant. Malgré cela, les utilisateurs ayant installé des versions antérieures pourraient toujours avoir des logiciels malveillants sur leurs appareils Android.
Le deuxième cas concerne Max Browser, un navigateur mobile développé par WA Message Recover-WAMR, qui a également accumulé un million de téléchargements avant d’être retiré par Google. Les craintes persistent quant à la présence de virus sur les smartphones ayant installé cette application avant son retrait. Des pays comme la France sont touchés par Necro, mais des pays tels que la Russie, le Brésil et le Vietnam se distinguent par un nombre élevé d’infections.
La méthode d’infiltration : un SDK publicitaire malveillant
Necro a réussi à s’introduire dans des applications sans que leurs développeurs en aient connaissance grâce à un SDK publicitaire, ou Software Development Kit. Cet ensemble d’outils et de bibliothèques est habituellement intégré par les développeurs pour afficher des publicités au sein de leurs applications.
Le SDK malveillant, nommé Coral SDK, a utilisé diverses stratégies pour masquer ses véritables intentions. Les cybercriminels derrière cette opération ont notamment obscurci le code du SDK, rendant ainsi difficile l’analyse par des experts en sécurité ou des antivirus. Cette obscurcissement cache la nature réelle du programme malveillant en le rendant plus complexe que nécessaire.
De plus, les pirates ont eu recours à la stéganographie d’image. Ils ont dissimulé des instructions malveillantes dans des images au format PNG, qui, bien qu’apparemment normales, contiennent en réalité des directives que le SDK doit exécuter. Cette méthode est décrite par Kaspersky comme étant rare pour des logiciels malveillants mobiles. C’est ainsi que Necro a pu tromper la vigilance des développeurs et se retrouver sur le Play Store dans des applications réputées sûres.
Publicités invisibles et abonnements frauduleux
Une fois installé sur le smartphone des utilisateurs, Necro commence à télécharger discrètement une variété de logiciels malveillants. Le malware installe d’abord un programme publicitaire capable d’afficher des publicités invisibles, permettant ainsi aux cybercriminels de générer des revenus frauduleux sans que l’utilisateur s’en aperçoive. En outre, il ajoute des outils spécifiquement conçus pour faciliter la fraude liée aux abonnements. Ces outils garantissent que l’utilisateur s’inscrive à des services payants sans en être conscient, en simulant des clics sur des boutons ou en remplissant automatiquement des formulaires d’abonnement en arrière-plan. En conséquence, la victime se retrouve à devoir payer des abonnements auxquels elle n’a pas consenti.
Enfin, Necro peut transformer les appareils infectés en proxys. Autrement dit, le malware utilise le smartphone de l’utilisateur comme intermédiaire pour acheminer du trafic malveillant, tel que des attaques ou des communications illégales, sans son consentement.
Une récurrence des applications malveillantes sur le Play Store
Ce n’est pas la première fois que le Google Play Store laisse passer des applications Android malveillantes. Malgré les efforts déployés par Google pour sécuriser la plateforme, des applications cachant des malwares continuent d’y apparaître régulièrement. Par exemple, il y a quelques mois, des chercheurs ont découvert plusieurs types de logiciels malveillants, y compris le redoutable virus Anatsa, dans plus de 90 applications distribuées sur le Play Store.
Il est donc conseillé aux utilisateurs de se méfier des applications provenant de sources peu fiables et de lire attentivement tous les commentaires avant de procéder à un téléchargement. Ces commentaires peuvent souvent révéler des indices sur des comportements malveillants. Cependant, dans le cas de Necro, il y avait peu de choses que les utilisateurs pouvaient faire pour éviter d’être piégés. Les chercheurs recommandent aux utilisateurs ayant installé l’une des applications compromises de mettre à jour vers une version où le code malveillant a été retiré ou de la désinstaller complètement.
Propagation du malware en dehors du Play Store
Kaspersky souligne également que le malware se propage en dehors du Play Store. Les chercheurs ont trouvé Necro dans des fichiers APK disponibles sur des sites non officiels. Il a été particulièrement actif dans des versions modifiées d’applications populaires telles que WhatsApp, Spotify ou Minecraft.
Cela signifie que le nombre réel d’appareils infectés pourrait être bien supérieur aux 11 millions signalés, car Necro a également infiltré des applications distribuées par le biais de sources non officielles. Kaspersky a d’ailleurs découvert la version malveillante de Spotify lors de son enquête, ce qui a conduit à la détection de Necro dans d’autres applications, y compris celles présentes sur le Play Store.