Nous pourrions potentiellement voir encore plus d’applications malveillantes propager des logiciels malveillants Android que l’année dernière, maintenant que le code source d’une souche de logiciel malveillant populaire a été mis en ligne.
Au cours du dernier trimestre de 2022, on a constaté une augmentation significative des détections de la famille de malwares Android SpyNote ou SpyMax. Cela a été attribué au fait que le créateur de CypherRat – qui est basé sur SpyNote – a publié le code source de la souche de malware sur GitHub.
Ce qui rend CypherRat particulièrement dangereux, c’est qu’il combine les capacités d’espionnage de SpyNote, qui comprennent l’accès à distance, le suivi GPS et les mises à jour de l’état et de l’activité de l’appareil, avec des fonctionnalités trouvées dans les chevaux de Troie bancaires utilisés pour se faire passer pour des banques populaires et voler les informations d’identification des comptes des utilisateurs, selon BleepingComputer.
Bien que CypherRat ait été initialement vendu sur des canaux Telegram privés entre août 2021 et octobre 2022, son créateur a finalement décidé de rendre le malware open source après que d’autres cybercriminels aient usurpé l’identité du projet sur des forums de piratage.
Variantes personnalisées de CypherRat
Avec le code source de CypherRat en main, les cybercriminels ont commencé à lancer leurs propres campagnes utilisant le malware. Peu après la publication du code source du malware sur GitHub, des variantes personnalisées de CypherRat ont commencé à apparaître en ligne en se faisant passer pour Bank of America, HSBC, Deutsche Bank et d’autres banques populaires.
Cependant, d’autres cybercriminels ont utilisé le code source de CypherRat pour cibler un public plus large en créant de fausses versions d’applications populaires, dont le Google Play Store, WhatsApp et Facebook.
Dans un billet de blog détaillant son enquête sur le sujet, ThreatFabric a révélé qu’elle avait également observé des attaquants créant des applications malveillantes se faisant passer pour des utilitaires tels que des fonds d’écran et des applications de productivité, ainsi que des applications de jeux.
Maintenant que le code source de CypherRat est révélé au grand jour, nous verrons probablement d’autres applications malveillantes utilisées pour infecter les meilleurs téléphones et tablettes Android avec ce puissant malware.
Utilisation abusive des fonctions d’accessibilité pour espionner les utilisateurs
Tout comme d’autres souches de logiciels malveillants, CypherRat et d’autres variantes de SpyNote exploitent le service d’accessibilité intégré d’Android pour installer de nouvelles applications, intercepter des messages texte afin de contourner l’authentification à deux facteurs (2FA), écouter les appels et enregistrer des vidéos et des sons sur les appareils infectés.
En outre, SpyNote peut être utilisé pour voler les informations d’identification des comptes Facebook et Google, enregistrer et envoyer des vidéos depuis un appareil infecté vers un serveur contrôlé par un attaquant, extraire les codes de Google Authenticator et enregistrer les pressions sur les touches pour voler les informations d’identification bancaires.
Bien que CypherRat soit principalement utilisé comme cheval de Troie bancaire pour le moment, il pourrait également être utilisé comme logiciel espion en raison de sa capacité à enregistrer des vidéos, à prendre des photos et à capturer les frappes au clavier.
Comment se protéger des logiciels malveillants Android
SpyNote, CypherRat et d’autres logiciels malveillants Android se propagent principalement par le biais de sites de phishing, de magasins d’applications tiers et des médias sociaux. C’est pourquoi vous devez être extrêmement prudent lorsque vous cliquez sur des liens et des pièces jointes dans des e-mails, des messages ou même des messages sur les médias sociaux.
Toutefois, le moyen le plus simple de rester à l’abri des logiciels malveillants Android est d’éviter les applications de chargement latéral, même si cela peut être tentant. Il est préférable de ne télécharger des applications que depuis les magasins d’applications officiels tels que Google Play Store, Samsung Galaxy Store et Amazon Appstore.
Même dans ce cas, les mauvaises applications parviennent de temps à autre à passer au travers des défenses de Google et des autres géants de la technologie. C’est pourquoi vous devez vous assurer que Google Play Protect est activé et fonctionne sur tous vos appareils Android. Dans un courriel adressé à Tom’s Guide, un porte-parole de Google a expliqué comment Google Play Protect peut contribuer à protéger vos appareils contre les logiciels malveillants :
« Google Play Protect vérifie que les appareils Android dotés des services Google Play ne contiennent pas d’applications potentiellement dangereuses provenant d’autres sources. Les utilisateurs sont protégés par Google Play Protect, qui peut avertir les utilisateurs ou bloquer les applications malveillantes identifiées sur les appareils Android. »
Pour une protection supplémentaire cependant, vous pouvez également envisager d’installer l’une des meilleures applications antivirus Android, car elles fonctionnent aux côtés de Google Play Protect pour garder vos appareils encore plus sécurisés.
Il faut également se méfier des applications qui demandent des autorisations d’accessibilité après l’installation. Bien que certaines applications légitimes aient besoin de ces autorisations pour fonctionner correctement, vous devez être extrêmement prudent lorsque vous accordez ce type d’autorisations. Vous devez également consulter les avis et les évaluations avant d’installer une nouvelle application. Il est conseillé de consulter des avis externes (de préférence des vidéos) afin de vous assurer que l’application fonctionne réellement comme indiqué sur sa page de présentation.
Les logiciels malveillants Android et les applications malveillantes utilisées pour les propager ont constitué un énorme problème l’année dernière, mais le code source de CypherRat étant facilement accessible en ligne, 2023 pourrait même être une année pire pour la sécurité d’Android.