Android : de fausses applis VLC et Ad Blocker propagent de dangereux malware bancaires

Les smartphones Android sont en ce moment la cible de fausses applications comme VLC et Kaspersky qui propagent les malware Flubot et Teabot. Bitdefender, à l'origine de la découverte, en profite pour rappeler que la plupart des dangers qui visent l'écosystème Android viennent de programmes installés hors du Google Play Store.

Bitdefender détaille dans son dernier rapport une campagne qui vise en ce moment les utilisateurs de smartphones Android. Des pirates propagent deux dangereux malware bancaires nommés Teabot et Flubot. Teabot est connu depuis un certain temps. Bitdefender explique : “le logiciel malveillant peut mener des attaques par superposition via les services d'accessibilité d'Android, intercepter des messages, effectuer diverses activités d'enregistrement de frappes sur le clavier de l’utilisateur, voler des codes d'authentification Google et même prendre le contrôle total à distance des appareils Android”.

Teabot est principalement un malware bancaire. Le but est de vous conduire à entrer vos identifiants via une page qui ressemble à s'y méprendre au site de votre banque, et à capter les éventuels codes d'authentification double facteur reçus par SMS pour se connecter à votre compte et transférer de l'argent. La campagne vise en ce moment surtout l'Espagne, mais on voit une forte progression des cas en France. Pour déployer le malware, les pirates emploient un stratagème complexe. Le virus est intégré à une fausse application, hébergée hors du Google Play Store.

Sécurité Android : des acteurs malveillants propagent des malware bancaires via de fausses applications

Bitdefender affirme avoir ainsi détecté le malware dans la liste d'applications suivante : 

• VLC MediaPlayer
• Kaspersky Free Antivirus
• Госуслуги: Возврат НДС
• PlutoTV
• BookReader
• Uplift: Health and Wellness App

Une fausse application Ad Blocker contenant le malware se propage également. Dans tous les cas ces applications ne sont pas sur le Google Play Store. Les pirates font en sorte de convaincre leur victime d'aller les installer en leur transmettant un simple lien vers une ressource hébergé sur des serveurs tiers. Pour ne rien arranger, les pirates sont en ce moment aussi très actifs autour d'un autre malware, Flubot. Il semble néanmoins que le groupe de pirates à l'origine soit différent, à cause d'une divergence de mode opératoire. Flubot se propage plus directement, principalement via des liens transmis par SMS.

Les pirates cachent dans ce cas principalement leur virus dans des applications de suivi de colis “DHL Express Mobile” et “FedEx Mobile”. Là encore, on commence à voir des cas en France, et l'intensité de la campagne devrait progresser au cours des prochaines semaines.

Ne tombez pas dans le piège des applications hébergées hors du Google Play Store

Il est pourtant assez simple de se protéger contre ces menaces. Comme l'explique Bitdefender dans son communiqué de presse : “la meilleure façon d'éviter d'être atteint par l'une de ces deux menaces est de ne jamais installer d'applications en dehors de la plateforme officielle. De plus, il ne faut pas cliquer sur les liens présents dans des SMS, mais plutôt rester toujours attentif aux autorisations des applications Android”. En d'autres termes : passez systématiquement par le Play Store.

Google a beaucoup travaillé pour faire du Google Play Store un endroit sûr. Il y a encore, de manière très sporadique, quelques découvertes d'application au comportement malveillant, mais dans l'ensemble, tout ce qui se trouve sur le Google Play Store est désormais relativement sûr. Le recours à des installations hors du Play Store ne se justifie que rarement, par exemple pour installer une application uniquement disponible sur les smartphones Google Pixel ou installer certains jeux comme Fortnite qui refusent d'être présents sur le Play Store en raison de la commission de 30% prélevée par Google.

Lire également : Malware Android – attention, ces 23 applications du Play Store peuvent vider votre compte en banque

En aucun cas une entité aussi reconnue que DHL, FedEX, VLC ou même l'antivirus Kaspersky ne vous fera installer leur application hors du Play Store. Si un lien ou un contact vous le propose, vous pouvez être quasi-certain que l'application que vous installerez contient une charge malveillante. C'est pourquoi il ne faut pas tomber dans le piège et systématiquement passer par le magasin d'applications lorsque vous recevez un SMS en apparence “officiel” qui vous demande d'installer une application en suivant un lien. Vous arrive-t-il d'installer des applications hors du Play Store ? Pour quelle raison ? Partagez votre retour d'expérience dans les commentaires de cet article !