Les développeurs de logiciels malveillants ont créé un marché florissant en promettant d’ajouter des applications Android malveillantes à Google Play pour 2 000 $ à 20 000 $, selon le type de comportement malveillant demandé par les cybercriminels.
Le prix exact de ces services est négocié au cas par cas sur les forums de hackers ou les canaux Telegram, permettant aux cybercriminels de personnaliser les applications Android malveillantes avec leurs propres logiciels malveillants ou fonctionnalités.
Google Play est la boutique d’applications officielle d’Android, présentée comme un moyen fiable et sécurisé d’installer des applications sur des appareils mobiles qui exploite une audience comprenant des milliards d’utilisateurs.
Par conséquent, la possibilité d’ajouter une application Android malveillante au magasin Google Play de confiance fournit une large base de cibles pour voler des informations d’identification et des données, mener des fraudes financières ou diffuser des publicités indésirables.
Un marché florissant des logiciels malveillants Android
Dans un nouveau rapport de Kaspersky, les chercheurs illustrent comment les acteurs de la menace offrent des services qui promettent l’ajout d’applications malveillantes Android à Google Play.
Ces services sont proposés via Telegram, les places de marché du dark web et les forums de piratage qui permettent aux pirates de promouvoir leurs services.
Les développeurs de logiciels malveillants promettent de cacher les logiciels malveillants dans des applications d’apparence légitime qui se font passer pour des programmes antivirus, des gestionnaires d’actifs de crypto-monnaie, des scanners de code QR, des petits jeux et des applications de rencontres.
Kaspersky rapporte qu’en dehors des chargeurs Google Play, qui se vendent en moyenne environ 7 000 dollars, les cybercriminels vendent également des services tels que l’obscurcissement des logiciels malveillants pour 8 à 30 dollars ou des comptes de développeur Google « nettoyés » qui coûtent 60 dollars.
Ces applications malveillantes mais d’apparence inoffensive sont publiées sur Google Play mais incluent la possibilité de récupérer du code malveillant via une mise à jour ultérieure. Alternativement, les utilisateurs peuvent recevoir une notification pour installer une autre application à partir d’une source externe.
Ces services garantissent que l’application restera sur Google Play pendant au moins une semaine, certains développeurs promettant au moins 5 000 installations.
Lors de l’installation, les applications de chargement de logiciels malveillants demandent à l’utilisateur d’accorder des autorisations risquées telles que l’accès à l’appareil photo, au microphone ou aux services d’accessibilité du téléphone et empêchent l’accès aux principales fonctions de l’application jusqu’à ce que les demandes soient approuvées.
Ensuite, les auteurs de ces applications vendent l’accès à leurs chargeurs aux acheteurs intéressés et les obligent à injecter des charges utiles supplémentaires.
Dans certains cas vus par Kaspersky, les vendeurs vendent leurs chargeurs aux enchères pour maximiser leur profit, à partir de 1 500 $ et fixant le prix « d’achat instantané » à 7 000 $.
Pour promouvoir ces chargeurs, les vendeurs publient des vidéos présentant leurs fonctionnalités, leur interface conviviale, leurs filtres de ciblage granulaires, etc.
« Les cybercriminels peuvent également compléter l’application trojanisée avec une fonctionnalité de détection d’un débogueur ou d’un environnement sandbox », explique Kaspersky.
« Si un environnement suspect est détecté, le chargeur peut arrêter ses opérations ou informer le cybercriminel qu’il a probablement été découvert par des enquêteurs de sécurité. »
Pour augmenter le nombre d’installations de logiciels malveillants via les chargeurs Google Play, les cybercriminels peuvent également proposer de lancer des campagnes Google Ad pour le compte de leurs clients.
En plus des chargeurs, les cybercriminels proposent également les services dits « de liaison », qui consistent à cacher des APK malveillants entiers sur des applications légitimes pouvant passer les contrôles de sécurité de Google.
La société de cybersécurité ThreatFabric a également signalé un service similaire baptisé « Zombinder » en décembre 2022, poussant Erbium Stealer à des milliers de victimes.
Le coût de ces services est nettement inférieur à celui des chargeurs, demandant entre 50 $ et 100 $ par dossier.
Pour se défendre contre ces attaques furtives, les utilisateurs d’Android doivent examiner attentivement les autorisations demandées lors de l’installation de l’application, vérifier les commentaires des utilisateurs sur Google Play et limiter au minimum le nombre d’applications installées.
Plus important encore, n’installez jamais d’APK Android à partir de sites tiers, car il s’agit d’une méthode de distribution courante pour les logiciels malveillants.