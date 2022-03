Le malware TeaBot contamine à nouveau le Google Play Store et cible désormais les États-Unis avec cette application de scan QR.



Il ne s'agirait pas d'une journée typique dans l'espace technologique sans qu'un problème de sécurité ne survienne. Comme de nombreux types de logiciels malveillants, celui-ci se cache à la vue de tous, et si vous avez installé l'application ou les applications concernées, vous devez les supprimer immédiatement. L'application en question est un scanner de codes QR fonctionnel. Cela tombe bien, puisque le FBI américain a récemment envoyé un avertissement indiquant que les gens devraient se méfier des codes QR en général. Toutefois, dans ce cas, ce n'est pas le QR Code lui-même qui pose un problème, mais l'application.







La société de gestion et de prévention de la fraude, Cleafy, signale que l'application fait ce qu'elle dit sur sa page de téléchargement. Elle scanne en effet les codes QR. Cependant, après quelques exécutions, elle demande à l'utilisateur de "mettre à jour" le logiciel. C'est là que les problèmes commencent. La soi-disant mise à jour du logiciel récupère des fichiers qui s'exécutent en arrière-plan à partir d'un dépôt Github. Ce fichier est étiqueté comme une autre application appelée "QR Code Scanner : Add-On".







Cette version complémentaire de l'application ne fait rien de bénéfique du tout. Cependant, elle demande des droits d'accès aux services d'accessibilité d'Android. Le problème est que l'autorisation des services d'accessibilité est presque assimilable à celle d'un super-utilisateur lorsqu'il s'agit d'autorisations sur Android, et bien qu'Android 12 ait mis en place des correctifs à cet égard, la plupart des appareils Android fonctionnent encore sous Android 11 ou même plus ancien. Ainsi, en accordant l'accès aux services d'accessibilité, l'application peut également s'octroyer des autorisations pour d'autres fonctions à l'insu de l'utilisateur, comme la capture d'écran, le contenu des messages texte, etc. Cela rend le malware, nommé TeaBot, particulièrement efficace comme outil pour voler des informations de connexion bancaires, d'échange de crypto et d'autres informations financières.



Ce cas particulier de TeaBot n'est pas tout à fait le même que celui qui existe depuis des mois maintenant. En janvier, des applications incluant ou distribuant le malware ont été signalées, et Google les a déjà retirées du Play Store. Ces premières versions ciblaient principalement les personnes vivant dans les pays européens, avec un code indiquant spécifiquement qu'il ne devait pas être exécuté si l'utilisateur se trouvait aux États-Unis. Cependant, cette nouvelle version a ajouté du code pour s'assurer qu'elle s'exécute bien sur les utilisateurs américains. Bien que les premières occurrences du malware aient déjà été éliminées du Google Play Store, la difficulté de le combattre vient du fait que les distributeurs de malware sont de plus en plus sophistiqués. Ils utilisent notamment ce que l'on appelle la méthode du "dropper".







Un dropper est une méthode de diffusion de logiciels malveillants qui permet d'installer des applications réelles sans se soucier des scanners ou des contrôles du personnel de déploiement. Cette application obtient ensuite le malware à partir d'un autre serveur ou service. Cela signifie que tant que l'application n'a pas effectué ses actions pour obtenir le malware, elle ne peut pas être signalée comme une application contenant un malware. De plus, dans ce cas, l'application en question est une véritable application fonctionnelle et ne serait pas signalée par un logiciel anti-malware. Les logiciels de prévention des logiciels malveillants ne feraient que signaler cette application, de sorte que le logiciel d'origine resterait en place, ce qui lui donnerait une autre chance de télécharger à nouveau sa charge utile néfaste.



Bien entendu, ce n'est pas le seul cas d'utilisation d'un dropper dans la distribution de logiciels malveillants. Récemment, il a été signalé que la méthode du compte-gouttes était utilisée dans les applications Windows Store. Le plus gros problème ici est que l'application d'origine est légitime, ce qui lui donne des critiques positives, la faisant paraître digne de confiance alors qu'elle ne l'est pas. Le meilleur plan d'action est donc préventif. Tout d'abord, vérifiez que vous n'avez pas déjà installé un scanner de codes QR. Sachez également que les iPhones et la plupart des téléphones Android disposent déjà d'un scanner de codes QR, il n'est donc pas nécessaire d'installer une nouvelle application. Surveillez toute activité d'utilisation du réseau de vos applications et soyez attentif si vous voyez une application installée que vous ne vous souvenez pas avoir fait vous-même. Enfin, limitez le nombre d'applications installées à ce dont vous avez besoin, car un trop grand nombre d'applications peut ralentir votre expérience de l'informatique mobile.



HOTHARDWARE