En avril, les chercheurs de l’équipe XLab de QAX ont découvert l’existence d’un nouveau malware Android. Les experts l’ont baptisé Wpeeper, en référence au verbe anglais « to peep», qui signifie regarder discrètement. Ce cheval de Troie est spécifiquement programmé pour s’emparer des données sensibles de ses victimes.
Une fois infiltré sur un smartphone, le virus va collecter des spécifications matérielles et des détails sur le système d’exploitation, compiler la liste des apps installées ou encore voler les fichiers stockés. Quand la collecte a été bouclée, Wpeeper va se supprimer de l’appareil pour effacer ses traces.
À lire aussi : Google révèle combien d’apps Android malveillantes ont voulu infiltrer le Play Store en 2023
La stratégie de Wpeeper pour camoufler ses activités
Pour propager le malware, les pirates à l’origine de l’opération s’appuient sur des applications vérolées. Ces applications sont distribuées sur deux magasins d’apps tiers qui reprennent l’interface d’Uptodown App Store. Cette alternative au Play Store est très populaire auprès des utilisateurs Android. Elle cumule en effet plus de 220 millions de téléchargements. Pour le moment, rien n’indique que Wpeeper soit parvenu à pénétrer sur le Google Play Store.
En fait, les cybercriminels reconditionnent des applications légitimes trouvées sur l’Uptodown App Store. Ils se contentent d’y ajouter « un petit extrait de code » taillé pour installer une charge malveillante. Cette stratégie permet de contourner certains mécanismes de sécurité et d’échapper à la détection des antivirus. D’un point de vue du code, l’application malveillante n’est pas bien différente de la version officielle, qui est inoffensive.
Les chercheurs révèlent que les pirates s’appuient sur des sites WordPress compromis pour camoufler leurs activités. Le rapport indique que les sites sont utilisés comme des relais pour le trafic malveillant. Ces intermédiaires vont masquer l’origine des commandes du système de communication C2 (Command and Control) de Wpeeper. En utilisant ces sites WordPress piratés, les attaquants cachent l’emplacement de leurs serveurs, compliquant la tâche des chercheurs et des autorités. Il est dès lors très compliqué de remonter à l’origine de l’attaque. En exploitant des vulnérabilités dans WordPress ou un plugin WordPress, les pirates parviennent régulièrement à s’infiltrer dans un site web. En mars, une étude a d’ailleurs découvert que des milliers de sites étaient tombés entre les mains des hackers.
Un mystérieux arrêt d’activité
Les experts de XLab ont remarqué que « Wpeeper a soudainement cessé ses activités » le 22 avril 2024. Les serveurs ont cessé d’émettre des commandes. Les chercheurs soupçonnent qu’il s’agit d’une stratégie visant à passer inaperçu avant de réactiver les fonctionnalités malveillantes du virus :
« Il pourrait être stratégiquement préférable d’arrêter volontairement les services réseau, permettant aux APK de maintenir un statut “innocent” aux yeux des logiciels antivirus et d’augmenter leur nombre d’installations ».
De facto, il n’est pas impossible que le malware se remette à espionner les utilisateurs Android dans un avenir proche. Comme toujours, on vous recommande d’éviter les applications provenant de magasins tiers inconnus. Si vous avez des doutes, cantonnez-vous au Play Store et aux applications connues disposant d’une grande quantité d’avis positifs.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Xlab
