Les auteurs de menaces utilisent une technique appelée versioning pour échapper aux détections de logiciels malveillants de Google Play Store et cibler les utilisateurs d’Android.
« Les campagnes utilisant la gestion des versions ciblent généralement les informations d’identification, les données et les finances des utilisateurs », a déclaré Google Cybersecurity Action Team (GCAT) dans son rapport Threat Horizons d’août 2023 partagé avec The Hacker News.
Bien que le versioning ne soit pas un phénomène nouveau, il est sournois et difficile à détecter. Dans cette méthode, un développeur publie une version initiale d’une application sur le Play Store qui passe les contrôles de prépublication de Google, mais est ensuite mise à jour avec un composant malveillant.
Ceci est réalisé en poussant une mise à jour à partir d’un serveur contrôlé par l’attaquant pour diffuser un code malveillant sur l’appareil de l’utilisateur final à l’aide d’une méthode appelée chargement de code dynamique (DCL), transformant ainsi l’application en une porte dérobée.
Plus tôt en mai, ESET a découvert une application d’enregistrement d’écran nommée « iRecorder – Screen Recorder » qui est restée inoffensive pendant près d’un an après son premier téléchargement sur le Play Store avant que des modifications malveillantes ne soient introduites sournoisement pour espionner ses utilisateurs.
Un autre exemple de logiciel malveillant utilisant la méthode DCL est SharkBot, qui a fait son apparition à plusieurs reprises sur le Play Store en se faisant passer pour des applications de sécurité et utilitaires.
SharkBot est un cheval de Troie financier qui initie des transferts d’argent non autorisés à partir d’appareils compromis à l’aide du protocole Automated Transfer Service (ATS).
Les applications dropper qui apparaissent sur la vitrine sont dotées de fonctionnalités réduites qui, une fois installées par les victimes, téléchargent une version complète du logiciel malveillant dans le but d’attirer moins l’attention.
« Dans un environnement d’entreprise, la gestion des versions démontre la nécessité de principes de défense en profondeur, y compris, mais sans s’y limiter, la limitation des sources d’installation d’applications à des sources fiables telles que Google Play ou la gestion des appareils d’entreprise via une plate-forme de gestion des appareils mobiles (MDM) », a déclaré le a déclaré la société.
Les découvertes surviennent alors que ThreatFabric a révélé que les fournisseurs de logiciels malveillants exploitaient un bogue dans Android pour faire passer les applications malveillantes comme bénignes en « corrompant les composants d’une application » de sorte que l’application dans son ensemble reste valide, selon KrebsOnSecurity.
« Les acteurs peuvent avoir plusieurs applications publiées dans le magasin en même temps sous différents comptes de développeur, cependant, un seul agit comme malveillant, tandis que l’autre est une sauvegarde à utiliser après le retrait », a noté la société néerlandaise de cybersécurité en juin.
« Une telle tactique aide les acteurs à maintenir des campagnes très longues, minimisant le temps nécessaire pour publier un autre compte-gouttes et poursuivre la campagne de distribution. »
Pour atténuer tout risque potentiel, il est recommandé aux utilisateurs d’Android de s’en tenir à des sources fiables pour le téléchargement d’applications et d’activer Google Play Protect pour recevoir des notifications lorsqu’une application potentiellement dangereuse (PHA) est détectée sur l’appareil.
