Kaspersky a récemment découvert une nouvelle version du malware Necro, dissimulée dans deux applications Android présentes sur le Google Play Store. Ce virus a déjà infecté plus de 11 millions d’utilisateurs à travers le monde. Grâce à des techniques de camouflage avancées, Necro a réussi à mener des activités frauduleuses sans attirer l’attention.
Necro n’est pas un inconnu. Ce malware, classé parmi les « loaders », est conçu pour infiltrer les systèmes et y installer d’autres logiciels malveillants. Ce virus a déjà fait parler de lui en 2019 lorsqu’il avait infecté plus de 100 millions de smartphones Android. Pour pénétrer sur les appareils, Necro utilise une stratégie de cheval de Troie : il se cache dans des applications apparemment inoffensives disponibles sur le Play Store.
Selon Kaspersky, les deux applications contaminées par Necro ont été téléchargées par 11 millions d’utilisateurs. La première, Wuta Camera, une application de retouche photo, comptait à elle seule 10 millions de téléchargements. Le malware s’était introduit dans la version 6.3.2.148 de l’app, avant d’être supprimé dans la version 6.3.7.138. La deuxième application touchée était Max Browser, un navigateur web qui avait atteint un million de téléchargements avant d’être retiré du Play Store par Google. Malgré les efforts de suppression, il est probable que les versions infectées continuent d’opérer sur de nombreux appareils.
Comment Necro a réussi à infiltrer les applications ?
Necro a réussi à infiltrer les applications via un SDK publicitaire nommé Coral SDK, intégré par les développeurs pour afficher des publicités. Les cybercriminels ont obscurci le code du SDK, rendant son analyse difficile pour les experts en sécurité. Ils ont également utilisé une méthode rare : la stéganographie d’image, dissimulant des instructions malveillantes dans des fichiers image au format PNG.
Quels sont les conséquences pour les utilisateurs des smartphones
Une fois installé, Necro déploie une série de logiciels publicitaires capables d’afficher des annonces invisibles, générant ainsi des revenus frauduleux pour les cybercriminels. Il inclut également des outils destinés à abonner les utilisateurs à des services payants à leur insu, en simulant des clics ou en remplissant des formulaires d’abonnement en arrière-plan. En plus de cela, Necro transforme les appareils infectés en proxys, acheminant du trafic malveillant à l’insu des utilisateurs.
Ce n’est pas la première fois que des malwares parviennent à passer à travers les mailles du filet de Google. Malgré des efforts constants, des logiciels malveillants continuent de se glisser dans des applications disponibles sur le Play Store. Dans le cadre de cette attaque, Kaspersky recommande aux utilisateurs de mettre à jour les applications concernées ou de les supprimer si elles sont toujours infectées.
Attention : une infection bien au-delà du Play Store
Necro ne se limite pas au Play Store. Les chercheurs ont également trouvé le malware dans des fichiers APK distribués sur des plateformes non officielles, caché dans des versions modifiées de célèbres applications comme WhatsApp, Spotify, et Minecraft. Cela suggère que le nombre d’appareils infectés pourrait être encore plus élevé.
Si vous avez téléchargé une des applications contaminées, il est essentiel de mettre à jour l’application ou de la désinstaller immédiatement. De manière générale, il est recommandé de ne télécharger des applications que depuis des sources fiables et de toujours vérifier les avis des autres utilisateurs avant l’installation.
