Avertissement : un nouveau malware Android a infecté de nombreux appareils en Asie

Les chercheurs en sécurité avertissent que deux nouveaux chevaux de Troie Android ont été découverts ciblant les utilisateurs d'Asie du Sud-Est et d'Asie de l'Est, dont l'un a déjà accumulé des centaines de milliers d'installations via l'App Store Google Play.

Photo d'illustration.

Selon un rapport de la célèbre société russe de cybersécurité Kaspersky, ce cheval de Troie, appelé Fleckpe, est apparu pour la première fois en 2022, distribué via des applications malveillantes dans la boutique d'applications Google Play.

Kaspersky a identifié 11 applications malveillantes sur la boutique d'applications officielle Google Play, installées plus de 620 000 fois. Des applications malveillantes, telles que des utilitaires de retouche photo, des packs de fonds d'écran pour smartphones et des logiciels similaires, ont été supprimées de la boutique d'applications Google Play.

Une fois actif sur un appareil infecté, le malware Fleckpe télécharge une bibliothèque contenant un programme viral qui vise à établir une connexion à un serveur de commande et de contrôle (C&C) et à envoyer des informations sur l'appareil infecté.

Le serveur répond avec une page d'inscription payante que le cheval de Troie charge dans une fenêtre de navigateur invisible. Si le processus d'inscription nécessite un code de confirmation, le logiciel malveillant profite de l'accès précédemment demandé à la zone de notification, récupère ce code et l'intègre dans la page pour finaliser l'inscription.

La plupart des victimes du malware Fleckpe ont été identifiées en Thaïlande, mais le malware a également infecté les appareils des utilisateurs en Indonésie, en Malaisie, en Pologne et à Singapour.

Le deuxième malware nouvellement identifié, appelé FluHorse, est également diffusé via des applications malveillantes. Cependant, contrairement à Fleckpe, ces applications parviennent aux appareils des victimes via des e-mails d'hameçonnage, a révélé l'entreprise israélienne de cybersécurité Check Point.

Le malware FluHorse imite les applications populaires avec plus d'un million d'installations sur l'App Store de Google Play et est conçu spécifiquement pour les utilisateurs de Taïwan (applications payantes) et du Vietnam (applications bancaires).

Le logiciel malveillant était conçu pour collecter les identifiants de connexion et les codes d'authentification à deux facteurs (2FA) des victimes transmis par SMS et les envoyer aux opérateurs. Les e-mails de phishing contenaient des leurres liés au paiement de péages et redirigeaient les victimes vers un faux site web utilisé pour diffuser les applications malveillantes.

Une fois que la victime a installé l'application malveillante, elle est invitée à saisir ses informations de connexion, puis à attendre 10 ou 15 minutes jusqu'à ce que les informations soient vérifiées.

Pendant ce temps, les acteurs de la menace tentent d'utiliser les informations d'identification pour effectuer des transactions malveillantes, et le logiciel malveillant abuse des autorisations précédemment demandées pour rediriger tous les codes de confirmation SMS vers les attaquants.

Selon la société de cybersécurité Check Point, les victimes du malware FluHorse ont été identifiées comme étant diverses et incluent des personnalités importantes telles que des représentants du gouvernement.