Les chercheurs de McAfee ont découvert la trace d’un nouveau malware visant les smartphones Android. Le virus tire son épingle du jeu en exploitant .NET MAUI (Multi-platform App UI), une infrastructure multiplateforme développée par Microsoft pour créer des applications mobiles et de bureau natives. Lancé en 2022, le cadre de développement remplace Xamarin, un autre framework acquis par Microsoft en 2016, mais dont le support est arrivé à son terme l’an dernier.
Pour se servir du framework dans leurs attaques, les pirates vont développer une application pour Android malveillante en utilisant le langage de programmation C# et NET MAUI. Ils vont stocker le code de l’application sous la forme de fichiers BLOB (Binary Large Object), ce qui est inhabituel.
À lire aussi : Cyberattaque massive sur le Play Store – plus de 300 apps Android criminelles veulent infiltrer votre smartphone
Les pirates bernent la sécurité d’Android
Cette astuce permet de contourner les outils de sécurité implémentés par Google dans le système d’exploitation. En effet, Android n’est pas programmé pour analyser les fichiers BLOB d’une application. C’est pourquoi les cybercriminels vont cacher la charge malveillante, et les fonctionnalités frauduleuses, dans les fichiers BLOB. C’est dans ces fichiers binaires que se trouve le malware. De facto, Google n’est pas en mesure de détecter la moindre activité suspecte. L’application peut trouver son chemin jusque sur le Play Store, où elle pourra trouver un océan de victimes potentielles. Elle peut aussi être installée sous la forme d’APK, sans provoquer un signal d’alerte sur Android.
« Contrairement aux applications Android traditionnelles, leurs fonctionnalités n’existent pas dans les fichiers DEX ou les bibliothèques natives. Or, de nombreuses solutions antivirus se concentrent sur l’analyse de ces composants pour détecter les comportements malveillants », relate McAfee dans son rapport.
Par ailleurs, les pirates se servent d’un véritable arsenal de tactiques pour rester indétectables. McAfee cite notamment des algorithmes de chiffrement, un mélange des données de l’app, une exécution en plusieurs étapes, et l’ajout de chaînes aléatoires inutiles dans certains fichiers essentiels. Ces astuces permettent de brouiller les pistes et de rendre la détection compliquée. Avec « ces techniques d’évasion, les menaces peuvent rester cachées pendant de longues périodes, ce qui rend l’analyse et la détection beaucoup plus difficiles », explique d’ailleurs McAfee.
Les chercheurs ont découvert plusieurs types d’applications malveillantes exploitant NET MAUI, dont de fausses applications bancaires, de rencontre ou de communication. Les experts épinglent aussi plusieurs versions frauduleuses de X, le réseau social autrefois connu sous le nom de Twitter. Les cybercriminels propagent leurs applications factices « via des sites Web tiers ou des magasins d’applications alternatifs ». Ces menaces « se déguisent en applications légitimes, ciblant les utilisateurs pour voler des informations sensibles ».
À lire aussi : Un malware espion nord-coréen se cache sur le Play Store – désinstallez ces 5 apps Android
Vol massif de données
Une fois installée sur le smartphone de la cible à l’insu du Play Protect, l’application va demander des identifiants de connexion, comme des mots de passe. Ces données sensibles sont exfiltrées et envoyées sur des serveurs à distance en possession des hackers. Dans le cas d’identifiants bancaires, les escrocs vont pouvoir se connecter au compte pour réaliser des transactions à l’insu de la victime. Dans la foulée, certaines apps collectent tous les SMS de la cible, vraisemblablement dans l’espoir d’intercepter des codes de connexion pour la double authentification.
Pour le moment, les applications malveillantes visaient surtout les internautes qui résident en Chine et en Inde. McAffe a notamment découvert des copies d’applications de plusieurs banques indiennes. Néanmoins, il est probable que la tactique se propage rapidement dans le reste du monde.
Comme toujours, on vous recommande de ne jamais télécharger une application dont vous ne connaissez pas l’origine. Avant d’installer une app, prenez le temps de consulter les avis et de vérifier qui l’a développé. Ces étapes simples aident souvent à repérer les arnaques, et d’éviter de très mauvaises surprises.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : McAfee
