Un nouveau malware Android propage WhatsApp


Whatsapp

Crédit photo: CC0 Public Domain

Une nouvelle forme de a commencé à se propager en créant des réponses automatiques sur . Check Point Research a récemment découvert le malware dans une fausse application sur Google Play.

Désormais, tous les utilisateurs qui ont téléchargé l’application malveillante et obtenu les autorisations nécessaires peuvent utiliser les messages de réponse automatique de WhatsApp pour envoyer aux utilisateurs une charge utile désagréable via un serveur de commande et de contrôle (C&C). Cette stratégie polyvalente pourrait, entre autres, aider les attaquants à mener des attaques de phishing, voler des informations de connexion et des données WhatsApp et collecter de fausses informations.

La fausse application sur Google Play s’appelait FlixOnline, un faux service qui prétend permettre aux utilisateurs d’utiliser le service de streaming Netflix de n’importe où dans le monde. Cependant, au lieu d’accorder l’accès à Netflix, l’application interagit en fait avec le compte WhatsApp de l’utilisateur pour envoyer ces fausses réponses automatiques. En fait, les acteurs de la menace peuvent même faire chanter les utilisateurs en menaçant de vendre leurs conversations et données personnelles WhatsApp à tous les contacts des utilisateurs.

Dès qu’un utilisateur télécharge et installe l’application à partir du Play Store, le logiciel malveillant lance un service qui demande les autorisations «Overlay», «Battery Optimization Ignore» et «Notification». Avec des autorisations telles que Overlay, les attaquants peuvent ouvrir de nouvelles fenêtres sur les applications existantes pour créer de faux portails de connexion et voler les informations d’identification des utilisateurs. En ignorant l’optimisation de la batterie, l’attaquant peut continuer à exécuter le logiciel malveillant même après que le téléphone a été inactif pour économiser la batterie. Finalement, avec le privilège de notification, les attaquants pourraient afficher toutes les notifications sur les messages envoyés à l’appareil de l’utilisateur, y compris la possibilité de fermer ou de répondre à ces messages.

Une fois ces autorisations obtenues, le logiciel malveillant cache son icône afin que le logiciel ne puisse pas simplement être supprimé. L’application se cache à l’aide de mises à jour du serveur C&C qui modifient régulièrement la configuration du malware. Une façon dont ce changement de configuration peut se produire est que le serveur C&C mette à jour l’application dès que l’appareil exécute le logiciel malveillant. En particulier, le serveur utilise le rappel OnNotificationPosted pour mettre à jour automatiquement le malware.

Une fois que le logiciel malveillant détecte une nouvelle notification de message, l’application malveillante masque la notification à l’utilisateur afin que seul le logiciel malveillant puisse afficher le message. Ensuite, le malware lance le rappel pour envoyer la fausse réponse automatique à l’utilisateur.

Depuis que Check Point Research a informé Google de cette application malveillante, Google a supprimé la mauvaise application du Play Store. Avant d’être supprimée, cette application a été téléchargée environ 500 fois.


Un malware Android avancé se faisant passer pour une mise à jour du système


Plus d’information:
A. Hazum et coll. « De nouveaux logiciels malveillants Android se répandent en créant des réponses automatiques aux messages sur WhatsApp. » Check Point Research, Check Point Software Technologies, 7 avril 2021, research.checkpoint.com/2021/n… essages-in-whatsapp /.

© Réseau Science X 2021

Citation: Un nouveau malware Android utilise WhatsApp pour la distribution (8 avril 2021), récupéré sur https://techxplore.com/news/2021-04-android-malware-whatsapp.html le 8 avril 2021

Ce document est soumis au droit d’auteur. Sauf pour le commerce équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans autorisation écrite. Le contenu est fourni à titre informatif uniquement.

Laisser un commentaire