En résumé:
- PCWorld rapporte que les chercheurs de Bitdefender ont découvert une campagne sophistiquée de malware Android appelée « TrustBastion » qui se déguise en application de sécurité pour voler des données sensibles.
- Le malware utilise le polymorphisme côté serveur pour générer plus de 6 000 variantes par mois, échappant à la détection tout en capturant les codes PIN, les mots de passe et en superposant de faux écrans de connexion sur des applications légitimes.
- Les utilisateurs d’Android doivent uniquement télécharger des applications depuis Google Play Store, éviter d’accorder des autorisations d’accessibilité excessives et activer Google Play Protect pour une sécurité renforcée.
Les chercheurs en sécurité ont découvert un nouveau malware Android qui permet aux attaquants de suivre presque toutes les actions entreprises sur un smartphone. Entre autres détails, cela inclut les entrées de code PIN, les informations de connexion et le contenu des applications de messagerie et bancaires.
Ce qui rend cela particulièrement insidieux, c’est que le malware utilise Hugging Face, une plateforme de développement réputée, pour se propager discrètement.
Logiciel malveillant se faisant passer pour une application de sécurité
Cette campagne de malware a été découverte par des chercheurs de la société de sécurité Bitdefender. Au cœur de cette campagne se trouve une application Android appelée « TrustBastion », qui se fait passer pour une solution de sécurité.
Les victimes de l’attaque sont confrontées à des publicités et/ou pop-ups affirmant que leur smartphone est infecté. Afin de supprimer les menaces présumées, notamment les tentatives de phishing, les textes frauduleux et autres logiciels malveillants, ils sont invités à installer l’application.
L’application semble inoffensive à première vue. En fait, il s’agit d’un « compte-gouttes », ce qui signifie que l’application elle-même ne contient initialement aucune fonction malveillante, mais qu’elle la télécharge plus tard.
Une fausse mise à jour télécharge un malware
Immédiatement après l’installation, TrustBastion affiche une mise à jour supposément nécessaire. La fenêtre est visuellement similaire aux boîtes de dialogue officielles d’Android ou de Google Play, et toute personne acceptant la mise à jour finit par télécharger un fichier APK manipulé en arrière-plan.
Le téléchargement de l’APK ne s’effectue pas via des serveurs souterrains mais via Hugging Face. La plateforme est largement utilisée par la communauté des développeurs et de l’IA et jouit d’une bonne réputation, ce que les attaquants exploitent précisément : les connexions à Hugging Face ne sont pas classées comme suspectes par de nombreuses solutions de sécurité.
L’abus d’accessibilité comme passerelle
Après l’installation, le malware demande des autorisations étendues. Il prétend être un composant système appelé « Phone Security » et invite les utilisateurs à activer les fonctionnalités d’accessibilité d’Android.
Ces droits d’accès sont particulièrement critiques. Ils permettent à une application de lire le contenu de l’écran, d’enregistrer les entrées et de superposer d’autres applications. Cela signifie que le logiciel malveillant peut commencer à capturer chaque saisie de code PIN et/ou schéma de déverrouillage, et superposer de fausses interfaces de connexion sur de véritables applications.
Cet accès permet d’intercepter les données des services de paiement, des messageries et d’autres applications sensibles. Les informations capturées sont ensuite transmises à un serveur de contrôle central appartenant aux attaquants. À partir de là, de nouvelles commandes ou mises à jour peuvent également être envoyées aux appareils infectés.
Les nouvelles variantes rendent la détection difficile
Selon Bitdefender, les attaquants s’appuient sur ce que l’on appelle le polymorphisme côté serveur pour échapper à la détection : en bref, de nouvelles versions du malware sont générées environ toutes les 15 minutes. Chaque fichier APK légèrement modifié a les mêmes fonctionnalités avec des ajustements négligeables.
En un mois, les chercheurs ont dénombré plus de 6 000 variantes différentes. L’objectif est de contourner les antivirus classiques basés sur les signatures. La campagne a également changé de nom et d’icône à plusieurs reprises après la suppression de progiciels individuels.
Que devez-vous faire maintenant ?
Les utilisateurs d’Android doivent uniquement installer des applications du Google Play Store et ne pas autoriser les applications provenant de sources externes. Vous devez être particulièrement prudent avec les applications qui prétendent être des logiciels de sécurité ou de protection tout en nécessitant des autorisations système étendues. Assurez-vous d’activer Google Play Protect pour une sécurité maximale contre les menaces.
Vous devez également être prudent lorsque vous téléchargez des applications et des fichiers à partir de plateformes connues. Une infrastructure réputée ne garantit pas que les fichiers fournis sont sûrs ou propres. N’activez les fonctionnalités d’accessibilité que si vous comprenez clairement le but de la demande de l’application.
Si vous avez installé une application suspecte, vous devez la supprimer immédiatement et analyser votre appareil à la recherche de logiciels malveillants. En cas de doute, vous souhaiterez peut-être également réinitialiser votre appareil aux paramètres d’usine.
