“FIC2018”

ExpensiveWall : un logiciel malveillant sur Android qu’a infecté 21 millions de victimes

0

Check Point vient de découvrir ExpensiveWall, une nouvelle variante d’un logiciel malveillant Android. Contenue dans au moins 50 applications d’apparence normale – depuis retirées du Play Store – ce malware utilise le code IMEI, le numéro de téléphone, et d’autres données personnelles pour usurper l’identité des utilisateurs, et les abonner à des services d’envois de sms surtaxé.

Ce qui rend ExpensiveWall différent des autres membres de la famille est qu’il est « emballé » – une technique d’obscurcissement avancée utilisée par les développeurs de logiciels malveillants pour crypter le code malveillant – ce qui lui permet de intégrer Google Play sans que la protection anti-malware l’apperçoit.

Comment fonctionne ExpensiveWall?

Une fois ExpensiveWall est téléchargé, il demande plusieurs autorisations, y compris l’ accès à Internet – qui permet à l’application de se connecter à son serveur C&C – et les autorisations SMS – qui lui permettent d’envoyer des messages SMS surtaxés et enregistrer les utilisateurs d’autres services payants à l’insu des utilisateurs.

Bien que de nombreuses applications demandent les mêmes autorisations à des fins légitimes, la plupart des utilisateurs accordent ces autorisations sans y penser, en particulier lors de l’ installation d’ une application à partir d’ une source digne de confiance tel que Google Play. Cependant, dans le monde actuel gouverné par les donnéesne pas être capable d’identifier de potentielles menaces pour les applications peut se révéler désastreux. Les cybercriminels sont de perfides nuisibles déterminés à voler des informations vitales qui malheureusement prolifèrent dans le monde entier. De fait, 28 % des attaques actuelles visent les identités des utilisateurs et 44 % d’entre elles visent les applications, c’est-à-dire la porte d’accès aux données.

ExpensiveWall contient une interface qui se connecte entre les actions en app et le code JavaScript, qui fonctionne sur une interface web appelée WebView, ce qui permet l’exécution de JavaScript dans WebView et déclencher des activités en application. Une fois installé et accordé les autorisations nécessaires, ExpensiveWall envoie des données sur le périphérique infecté à son serveur C&C, y compris son emplacement et des identificateurs uniques, tels que les adresses MAC et IP, IMSI et IMEI.

Le malware a été téléchargée entre 5,1 et 21,1 million de fois

Au total, cette famille de malware a été téléchargée entre 5,1 et 21,1 million de fois. et . selon chiffres de Google Play, le logiciel malveillant a infecté au moins 50 applications et a été téléchargé entre 1 million et 4,2 millions de fois avant que les applications concernées ont été retirées.

Check Point a informé Google sur ExpensiveWall le 7 Août 2017 et Google a retiré rapidement les échantillons rapportés de son magasin. Cependant, même après que les applications concernées ont été retirées, un autre échantillon a infiltré Google Play infectant plus de 5000 appareils avant qu’il ne soit enlevé que quatre jours plus tard.

Il est important de signaler que les utilisateurs qui ont téléchargé ces applications sont encore en danger et doivent supprimer manuellement les applications installées et infectés de leurs appareils.

Pourquoi est – ExpensiveWall dangereux?

Alors que ExpensiveWall est actuellement conçu uniquement pour générer des profits de ses victimes, le malware pourrait être facilement modifié et utiliser la même infrastructure afin de capturer des images, de enregistrer des audio, et même pour voler des données sensibles et de les envoyer à un serveur de commande et contrôle (C&C). Étant donné que le logiciel malveillant est capable de fonctionner en silence, toute cette activité illicite peut avoir lieu à l’insu de la victime, transformant leur smartphone en l’outil d’espionnage ultime.

About Author

Desirée Rodríguez

Directrice de Globb Security France et Espagne. Journaliste et rédactrice. Avant son incorporation à GlobbTV, elle a développé la plupart de son activité dans le groupe éditorial Madiva. Twitter: @Drodriguezleal.

Leave A Reply