Deux applications Android disponibles sur le Google Play Store contiennent des logiciels malveillants cette semaine.
Ces applications sont appelées « télécommande Smart TV » et « Halloween Coloring », la première ayant été téléchargée au moins 1 000 fois.
L’application à distance Smart TV emballe le malware ‘Joker’
Cette semaine, Tatyana Shishkova, analyste des logiciels malveillants Android chez Kaspersky, a révélé les noms de deux applications Google Play contenant des logiciels malveillants Joker.
Au moins une de ces applications, ‘Smart TV remote’, a été installée plus de 1 000 fois depuis sa publication le 29 octobre.
Selon Shishkova, ces applications sont trojanisées avec le malware Joker :
#Joker Chevaux de Troie Android sur Google Play :https://t.co/jxJWbe8AH0 29 octobre, plus de 1 000 installationshttps://t.co/UmLssAqBF7 5 novembre, 1+ installations pic.twitter.com/wVLY4yI4Kz
– Tatyana Shishkova (@sh1shk0va) 10 novembre 2021
Comme indiqué précédemment par EZpublish-france.fr, les acteurs de la menace derrière le malware Joker cachent le code malveillant dans des applications apparemment inoffensives et les publient dans les magasins d’applications officiels. Plus tôt cette année, plus de 500 000 appareils Android Huawei ont été infectés par Joker.
Le malware est connu pour abonner les utilisateurs à des services mobiles premium sans leur consentement ou leur connaissance.
Les packs de code obscurcis ELF et les téléchargements d’APK
Pour mieux analyser le code malveillant, EZpublish-france.fr a obtenu les applications Android et décompilé ces APK.
Comme l’a également confirmé Shishkova, le code malveillant existe dans le fichier « ressources/assets/kup3x4nowz » de l’application à distance Smart TV. Pour l’application Halloween Coloring, un fichier identique nommé « q7y4prmugi » existe au même endroit.
Ces fichiers contiennent du code base64, illustré ci-dessous, contenant un Linux ELFE binaire:
Ce binaire ELF télécharge en outre la charge utile de deuxième étape hébergée sur une instance Amazon AWS. Les URL contenues dans les ELF vers la charge utile de deuxième étape sont :
Application de télécommande Smart TV : https://50egvllxk3.s3.eu-west-3.amazonaws[.]com/an41ajkdp5
Application de coloriage d’Halloween : https://nwki8auofv.s3.sa-east-1.amazonaws[.]com/vl39sbv02d
Comme vérifié par EZpublish-france.fr, ces fichiers an41ajkdp5 et vl39sbv02d étant eux-mêmes cryptés par XOR, ne sont détectés par aucun des principaux moteurs antivirus à ce jour.
Le décodage de ces fichiers avec une clé XOR ‘0x40’ produit cependant des archives APK. Essentiellement, les applications quasi bénignes « Smart TV Remote » et « Halloween Coloring » sont une façade pour télécharger des applications malveillantes sur vos appareils Android.
Le mois dernier, Shishkova et Maxime Ingrao, chercheur en sécurité au sein de la société de cybersécurité des paiements mobiles Evina, ont également surpris des applications malveillantes d' »éditeur de photos » sur le Google Play Store.
EZpublish-france.fr a signalé les applications malveillantes ‘Smart TV remote’ et ‘Halloween Coloring’ à Google Play avant la publication, et nous attendons la réponse de Google.
Il est plausible, Google Play Protect pourrait éventuellement attraper ces applications et offrir une protection automatique aux utilisateurs concernés, malgré l’échec initial menant à la publication des applications sur Play Store.
« Google Play Protect vérifie les applications lorsque vous les installez. Il analyse également périodiquement votre appareil. S’il trouve une application potentiellement dangereuse, il peut vous envoyer une notification,… désactivez l’application jusqu’à ce que vous la désinstalliez, [or] supprimer l’application automatiquement », déclarent Google documents officiels.
En attendant, les utilisateurs qui ont installé l’une de ces applications doivent désinstaller l’application immédiatement, nettoyer leur smartphone et rechercher tout abonnement non autorisé ou activité de facturation initiée à partir de leurs comptes.