Des chercheurs en cybersécurité ont détecté un changement significatif dans le paysage des malwares sur Android, où les applications dropper, qui étaient traditionnellement utilisées pour livrer des trojans bancaires, distribuent désormais des malwares plus simples, comme des voleurs de SMS et des spywares basiques. Selon un rapport de ThreatFabric, ces campagnes sont conçues pour se cacher derrière des applications gouvernementales ou bancaires en Inde et dans d’autres régions d’Asie.
Attention à votre Android !
Ce changement est attribué aux nouvelles protections de sécurité mises en place par Google dans des marchés sélectionnés comme Singapour, Thaïlande, Brésil et Inde, qui cherchent à bloquer l’installation d’applications suspectes nécessitant des autorisations dangereuses. Bien que Google Play Protect ait renforcé ses défenses, les attaquants continuent de trouver des moyens de contourner ces mesures, montrant une bataille constante entre la sécurité et les cybercriminels.
Les attaquants encapsulent même les payloads les plus basiques dans un dropper, ce qui leur fournit une couche de protection qui peut échapper aux contrôles de sécurité actuels. Cette approche permet aux criminels numériques de continuer à proposer des applications apparemment inoffensives, et ne montrent leur comportement malveillant que lorsque l’utilisateur accepte l’installation de l’application.
Une des applications dropper identifiées est RewardDropMiner, qui a été utilisée pour distribuer des payloads de spyware, ainsi qu’un mineur de cryptomonnaies Monero. Cependant, les versions récentes de ce dropper n’incluent plus la fonctionnalité de minage. D’autres variantes comme SecuriDropper et HiddenCatDropper ont montré des tactiques similaires pour éviter de déclencher des alarmes sur Google Play Protect.
De plus, une nouvelle campagne a également été détectée, utilisant des annonces malveillantes sur Facebook pour promouvoir une version premium de l’application TradingView, dans le but de déployer un cheval de Troie bancaire avancé. À ce jour, plus de 75 annonces trompeuses ont été diffusées, atteignant des dizaines de milliers d’utilisateurs dans l’Union européenne, ce qui témoigne de l’adaptabilité des cybercriminels face aux tendances actuelles des utilisateurs.