Smartphones

Révélation : cinq applications Google Play qui diffusent des logiciels espions avancés depuis des années

5 Google Play Apps Spreading Advanced Spyware for Years Exposed, Concept art for illustrative purpose, tags: logiciel espion mandrake dans applications du - Monok

Une nouvelle variante du célèbre logiciel espion Mandrake a été découverte dans cinq applications du Google Play Store. Le logiciel espion s’est discrètement infiltré dans le Play Store par le biais d’applications soumises en 2022. Fait remarquable, la plupart de ces applications sont restées actives pendant plus d’un an, et l’une d’entre elles a même échappé à la détection pendant deux ans avant d’être finalement découverte.

Les chercheurs de Kaspersky ont découvert que les nouveaux échantillons comportaient plusieurs couches de techniques d’obscurcissement et d’évasion pour éviter d’être détectés par les chercheurs et contourner le processus d’approbation de Google Play.

Techniques utilisées par l’application malveillante

L’une des principales caractéristiques de la dernière génération de Mandrake est son utilisation de bibliothèques natives, qui étaient auparavant stockées dans le fichier DEX de l’application, un type de fichier facile à analyser. Les bibliothèques natives ont ensuite été obscurcies à l’aide d’OLLVM, ce qui a rendu beaucoup plus difficile l’inspection et la compréhension de leur fonctionnement interne par les experts en sécurité.

Le code malveillant a été dissimulé dans une bibliothèque native nommée libopencv_dnn.so, ce qui rend sa détection plus difficile en raison de la complexité et de l’obscurité accrues associées à l’analyse des bibliothèques natives par rapport aux fichiers DEX des applications standard.

Les principaux objectifs de ce logiciel malveillant sont multiples et centrés sur des activités clandestines visant à voler des informations d’identification sensibles tout en facilitant le téléchargement et l’exécution d’applications malveillantes à des stades ultérieurs. Ces activités se déroulent par étapes, les infections initiales servant de précurseur à des attaques plus ciblées et plus sophistiquées sur des cibles soigneusement sélectionnées.

L’une des méthodes critiques employées par le logiciel espion est l’enregistrement d’écran, qui permet de capturer des informations sensibles telles que les codes d’accès et les identifiants de connexion.

Google supprime les applications concernées

Après la découverte du logiciel espion Mandrake, Google a rapidement retiré les applications concernées de sa plateforme Play Store. Toutefois, les personnes qui ont déjà téléchargé ces applications compromises doivent les désinstaller manuellement pour éviter tout dommage potentiel. Les applications concernées sont les suivantes

– Amber

– AirFS

– Astro Explorer

– Brain Matrix

– CryptoPulsing

Donnez une note
You Might Like