Une application malveillante de logiciel espion Android nommée « Calculs d’IMC » a été découverte sur l’Amazon Appstore, se faisant passer pour un simple outil de santé mais volant des données sur des appareils infectés en arrière-plan.
L’application a été découverte par des chercheurs de McAfee Labs, qui ont informé Amazon, ce qui a entraîné la suppression de l’application du magasin.
Cependant, ceux qui ont installé l’application doivent la supprimer manuellement et effectuer une analyse complète pour éliminer toute trace restante.
Logiciels espions Android sur la boutique Amazon
L’Amazon Appstore est un magasin d’applications tiers pour les appareils Android préinstallé sur les tablettes Amazon Fire et les appareils Fire TV.
C’est également une alternative à Google Play pour les propriétaires d’appareils Android qui ne peuvent pas ou ne veulent pas utiliser la plate-forme de Google, offrant même des jeux et du contenu exclusifs Amazon Prime.
L’application Calcul de l’IMC Vs spyware, publiée par « PT Visionet Data Internasional », est présentée comme un simple outil de calcul de l’indice de masse corporelle (IMC).
L’ouverture de l’application malveillante invite l’utilisateur à accéder à une interface simple qui fournit les fonctionnalités promises, telles que le calcul de son IMC. Cependant, des actions malveillantes supplémentaires se produisent en arrière-plan.
Tout d’abord, l’application démarre un service d’enregistrement d’écran qui demande l’autorisation appropriée lorsque l’utilisateur clique sur le bouton « Calculer », ce qui peut être trompeur et inciter les gens à obtenir des approbations réflexes.
McAfee indique que l’enregistrement est stocké localement dans un fichier MP4 mais n’a pas été téléchargé sur le serveur de commande et de contrôle (C2), probablement parce que l’application est encore en phase de développement de test précoce.
Un peu plus de recherches sur son historique de publication par les chercheurs ont montré que l’application était apparue pour la première fois dans la nature le 8 octobre. À la fin du mois, il avait changé son icône, ajouté plus de fonctions malveillantes et modifié les informations du certificat.
La deuxième action malveillante effectuée par l’application analyse l’appareil pour récupérer toutes les applications installées, permettant aux attaquants de planifier leurs prochaines étapes.
Enfin, le logiciel espion intercepte et collecte les messages SMS envoyés et stockés sur l’appareil, y compris les mots de passe à usage unique (OTP) et les codes de vérification.
Étant donné que les applications dangereuses peuvent encore passer à travers les fissures de révision de code dans des magasins légitimes et autrement dignes de confiance comme l’Amazon Appstore, il est important pour les utilisateurs d’Android de n’installer que des applications d’éditeurs bien connus.
Il est également recommandé d’examiner attentivement les autorisations demandées et de révoquer celles à risque même après l’installation.
Google Play Protect peut détecter et bloquer les logiciels malveillants connus découverts par les partenaires de l’App Security Alliance, y compris McAfee, il est donc crucial de le garder actif sur les appareils Android.