Les développeurs de logiciels malveillants ont créé un marché florissant en promettant d’ajouter des applications Android malveillantes à Google Play pour 2 000 $ à 20 000 $, selon le type de comportement malveillant demandé par les cybercriminels.
Le prix exact de ces services est négocié au cas par cas sur les forums de pirates ou les canaux Telegram, ce qui permet aux cybercriminels de personnaliser les applications Android malveillantes avec leurs propres logiciels malveillants ou fonctionnalités.
Google Play est la boutique d’applications officielle d’Android, présentée comme un moyen fiable et sécurisé d’installer des applications sur des appareils mobiles qui puise dans un public comprenant des milliards d’utilisateurs.
Par conséquent, la possibilité d’ajouter une application Android malveillante au Google Play Store de confiance fournit une large base de cibles pour voler des informations d’identification et des données, mener une fraude financière ou diffuser des publicités indésirables.
Un marché florissant des logiciels malveillants Android
Dans un nouveau rapport de Kaspersky, les chercheurs illustrent comment les acteurs de la menace offrent des services qui promettent l’ajout d’applications malveillantes Android à Google Play.
Ces services sont offerts via Telegram, les marchés du dark web et les forums de piratage qui permettent aux auteurs de menaces de promouvoir leurs services.
Les développeurs de logiciels malveillants promettent de cacher les logiciels malveillants dans des applications d’apparence légitime qui usurpent l’identité de programmes antivirus, de gestionnaires d’actifs de crypto-monnaie, de scanners de codes QR, de petits jeux et d’applications de rencontres.
Kaspersky rapporte qu’en dehors des chargeurs Google Play, qui se vendent en moyenne environ 7 000 $, les cybercriminels vendent également des services tels que l’obscurcissement des logiciels malveillants pour 8 $ à 30 $ ou des comptes de développeur Google « propres » qui coûtent 60 $.
Ces applications malveillantes mais d’apparence inoffensive sont publiées sur Google Play, mais incluent la possibilité de récupérer du code malveillant via une mise à jour ultérieure. Les utilisateurs peuvent également recevoir une notification pour installer une autre application à partir d’une source externe.
Ces services garantissent que l’application restera sur Google Play pendant au moins une semaine, certains développeurs promettant au moins 5 000 installations.
Lors de l’installation, les applications de chargement de logiciels malveillants demandent à l’utilisateur d’accorder des autorisations risquées telles que l’accès à la caméra, au microphone ou aux services d’accessibilité du téléphone et d’empêcher l’accès aux fonctions principales de l’application jusqu’à ce que les demandes soient approuvées.
Ensuite, les auteurs de ces applications vendent l’accès à leurs chargeurs aux acheteurs intéressés et les obligent à injecter des charges utiles supplémentaires.
Dans certains cas vus par Kaspersky, les vendeurs vendent leurs chargeurs aux enchères pour maximiser leur profit, en commençant à 1 500 $ et en fixant le prix d’achat instantané à 7 000 $.
Pour promouvoir ces chargeurs, les vendeurs publient des vidéos présentant leurs fonctionnalités, leur interface conviviale, leurs filtres de ciblage granulaires, etc.
« Les cybercriminels peuvent également compléter l’application cheval de Troie avec des fonctionnalités de détection d’un environnement de débogueur ou de bac à sable », explique Kaspersky.
« Si un environnement suspect est détecté, le chargeur peut arrêter ses opérations ou informer le cybercriminel qu’il a probablement été découvert par les enquêteurs de sécurité. »
Pour augmenter le nombre d’installations de logiciels malveillants via les chargeurs Google Play, les cybercriminels peuvent également proposer de lancer des campagnes Google Ad pour le compte de leurs clients.
En plus des chargeurs, les cybercriminels proposent également les services dits « contraignants », qui consistent à cacher des APK malveillants entiers sur des applications légitimes pouvant passer les contrôles de sécurité de Google.
La société de cybersécurité ThreatFabric a également signalé l’existence d’un service similaire baptisé « Zombinder » en décembre 2022, poussant Erbium Stealer à des milliers de victimes.
Le coût de ces services est nettement inférieur à celui des chargeurs, demandant entre 50 $ et 100 $ par fichier.
Pour se défendre contre ces attaques furtives, les utilisateurs d’Android doivent examiner attentivement les autorisations demandées lors de l’installation de l’application, vérifier les commentaires des utilisateurs sur Google Play et réduire au minimum le nombre d’applications installées.
Plus important encore, n’installez jamais d’APK Android à partir de sites tiers, car ils constituent une méthode de distribution courante pour les logiciels malveillants.
source : bleepingcomputer