L’an dernier, les chercheurs de Cleafy ont découvert l’existence d’un nouveau malware visant les smartphones sous Android, PixPirate. D’après l’enquête de Cleafy, le cheval de Troie est conçu pour piéger les utilisateurs de Pix, une plateforme de paiement instantané très populaire au Brésil. Dans les détails, le virus va « voler des informations sensibles » et s’en servir pour réaliser des transferts d’argent à l’insu des internautes.
À lire aussi : Désinstallez vite ces 5 applications Android, elles cherchent à vous voler
Deux applications à la base de l’attaque
Quelques mois après la découverte de PixPirate, IBM a levé le voile sur les stratégies employées par les cybercriminels à l’origine du malware. Selon les chercheurs, le déploiement de PixPirate sur un smartphone repose sur deux applications malveillantes. On trouve tout d’abord un « téléchargeur », distribué par le biais d’un fichier APK. C’est le point d’entrée du virus sur un smartphone. Il se propage grâce à des liens de phishing échangés sur WhatsApp ou par SMS.
Cette application demande l’accès à des autorisations lors de l’installation, dont les services d’accessibilité d’Android. Ces paramètres sont censés aider les personnes malvoyantes à se servir de leur appareil. Malheureusement, de nombreuses applications abusent de ceux-ci pour s’emparer des données des utilisateurs. Ensuite, elle télécharge la seconde application, qui contient le code de PixPirate. A ce stade, la victime peut supprimer l’application de téléchargement sans compromettre le reste de l’opération.
Une nouvelle tactique
Pour rester invisible une fois installée sur le téléphone, la seconde application utilise une tactique pour qu’aucune icône n’apparaisse sur l’écran d’accueil. De facto, la victime ne se rend pas compte qu’une app Android indésirable est installée sur son terminal. Elle est complètement invisible. Toutes les opérations malveillantes se déroulent en arrière-plan.
« La plupart des utilisateurs ne consultent pas l’écran des paramètres de l’application pour vérifier quelles applications sont installées, de sorte qu’ils ne remarqueront pas l’application malveillante et n’essaieront pas de la supprimer », explique IBM.
Ce n’est pas la première fois qu’une app malveillante cherche à passer inaperçue en faisant disparaître son icône. Par le passé, moult applications frauduleuses ont berné les utilisateurs avec cette stratégie. Néanmoins, Google était parvenu à mettre un terme à cette pratique avec la mise à jour Android 10. Cette version du système d’exploitation bloquait en effet l’accès à une interface de programmation qui permet d’activer ou désactiver les composants d’une application.
Pour cacher son icône malgré les précautions de Google, PixPirate s’appuie sur une nouvelle astuce, jamais vue auparavant, indique IBM. Concrètement, l’application malveillante ne déclare aucune activité principale lors de l’installation, ce qui pousse Android à ne pas l’afficher dans le tiroir d’applications ou l’écran d’accueil. C’est pourquoi l’attaque nécessite deux apps. Il faut que la première application exécute la seconde étant donné que l’utilisateur n’a pas accès à celle-ci. Le virus est donc capable de rester caché, même sur un téléphone tournant sous une version récente d’Android, comme Android 14. Dès lors, PixPirate peut orchestrer le reste de la cyberattaque dans la plus grande impunité.
Contacté par Bleeping Computer, Google précise qu’aucune application exploitant cette tactique n’a été trouvée sur le Play Store. Le groupe ajoute que « les utilisateurs d’Android sont automatiquement protégés contre les versions connues de ce logiciel malveillant par Google Play Protect ». Google ne semble pas pressé de bloquer la nouvelle stratégie des attaquants.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : IBM
