À la fin du mois d'août 2024, les experts de Kaspersky ont identifié une nouvelle version du cheval de Troie Necro ayant infiltré plusieurs applications populaires sur Google Play, et modifié des applications sur des plateformes non officielles, notamment Spotify, WhatsApp et Minecraft. Necro se présente sous la forme d'un téléchargeur Android qui installe et exécute d'autres composants malveillants sur les appareils infectés en fonction des commandes émises par les créateurs du cheval de Troie. Les logiciels de Kaspersky ont enregistré* des attaques Necro ciblant des utilisateurs en Russie, au Brésil, au Vietnam, en Equateur et au Mexique dans le cadre de cette campagne. La France n'est pas épargnée non plus, étant le 14ème pays le plus touché par ces attaques, avec 139 victimes.
Les capacités du cheval de Troie Necro
La variante de Necro découverte par Kaspersky peut télécharger des modules sur les smartphones infectés, affichant des publicités cliquables dans des fenêtres invisibles, pour faire télécharger des fichiers exécutables qui installent des applications tierces et ouvrent des liens dans des fenêtres WebView invisibles afin d'exécuter du code JavaScript. D'après ses caractéristiques techniques, le cheval de Troie est vraisemblablement capable de souscrire à des services payants. En outre, le téléchargement des modules permet aux cyberpirates de rediriger le trafic Internet via l'appareil de la victime. Ils peuvent ainsi visiter des pages bloquées par le biais de l'appareil de la victime, et potentiellement se servir de ce dernier comme élément d'un réseau de proxy (ou botnet).
Des applications infectées sur des plateformes non reconnues
Les experts de la société ont découvert Necro pour la première fois sur une version modifiée de Spotify Plus. Les créateurs de cette application ont déclaré qu'elle était sûre et offrait des fonctionnalités supplémentaires que l'on ne trouve pas dans l'application officielle de diffusion de musique en continu. Les chercheurs ont également trouvé une version modifiée de WhatsApp contenant le téléchargeur Necro, ainsi que des versions malveillantes de jeux populaires, tels que Minecraft, Stumble Guys et Car Parking Multiplayer. Necro a été intégré dans ces applications par le biais d'un module publicitaire non vérifié.
Des applications concernées sur Google Play
La campagne Necro s'est étendue au-delà des plateformes tierces et a également été distribué via Google Play. Le programme de téléchargement de malware a été trouvé dans l'application Wuta Camera et Max Browser. Selon les statistiques de Google Play, ces applications ont été téléchargées à plus de 11 millions de reprises. Sur cette plateforme également, Necro a été distribuée via un module publicitaire non vérifié. Suite au rapport de Kaspersky Lab à Google, le programme a été supprimé de Wuta Camera et Max Browser a été retiré de la boutique. Toutefois, les utilisateurs risquent toujours de rencontrer Necro sur des plateformes non officielles.
« Les utilisateurs tendent à télécharger des applications modifiées non officielles pour contourner les restrictions imposées par les logiciels originaux, ou pour accéder à des fonctions gratuites supplémentaires. Les cybercriminels exploitent ce comportement, diffusant des logiciels malveillants via ces applications, car il n'y a pas de modération sur les plateformes tierces » explique Dmitry Kalinin, spécialiste en cybersécurité chez Kaspersky. « Il est également intéressant de noter que la version de Necro intégrée dans ces applications utilise des techniques de stéganographie, dissimulant sa charge utile dans des images afin de ne pas être détectée, une méthode très rare pour les menaces mobiles. »
Les solutions de sécurité Kaspersky protègent contre Necro et détectent le téléchargeur comme Trojan-Downloader.AndroidOS.Necro.f et Trojan-Downloader.AndroidOS.Necro.h, les composants malveillants étant identifiés comme Trojan.AndroidOS.Necro.
Pour en savoir plus sur le cheval de Troie Necro, visitez Securelist.
*Les données sont basées sur les statistiques anonymes des solutions Kaspersky sur la période du 26 août au 15 septembre 2024.
