Verimatrix expose les tactiques du développeur en matière de logiciels malveillants

Les chercheurs de Verimatrix dans nos laboratoires VMX ont découvert que toutes les applications fabriquées par Simi Studio qui peuvent être téléchargées à partir de leur site web contiennent des logiciels malveillants. Le site web de Simi Studio ainsi que certains miroirs d'APK affirment que son application mobile Screen Lock a été téléchargée plus de 5 millions de fois, tandis que ses deux autres applications, Floating Button et Flashlight, semblent se vanter d'avoir été téléchargées plus de 100 000 fois à elles deux.

Les applications ne sont plus disponibles sur l'app store de Google, mais sur le site web du développeur et sur plusieurs sites miroirs d'APK. Il semblerait que les applications aient été précédemment disponibles dans la boutique d'applications officielle de Google, mais qu'elles en aient été retirées.

Alors que tous les principaux antivirus classent ces applications comme "propres", Verimatrix XTD a détecté qu'elles effectuaient des attaques par superposition. Une brève analyse utilisant Hybrid Analysis est disponible à l'adresse suivante www.hybrid-analysis.com comme concédant de licence, ainsi que l'analyse de Joesandbox, classent les applications comme des logiciels malveillants.

Les résultats confirment que les applications ont le comportement suspect suivant :

Les applications tentent d'effectuer des attaques superposées sur les applications bancaires. Elles commencent par demander une autorisation à .BIND_ACCESSIBILITY_SERVICE, qui est utilisée par les logiciels malveillants pour lancer des attaques superposées.
Les applications tentent de procéder à une escalade des privilèges, par exemple en demandant l'accès à la racine ou en essayant d'installer de nouveaux administrateurs.
L'application tente de contrôler le WiFi et le Bluetooth, qui sont des signes typiques de propagation.
L'application contrôle les appels téléphoniques, les enregistrements vidéo et audio.
L'empreinte TLS des connexions sortantes correspond à des logiciels malveillants connus qui se connectent à leurs serveurs C2.

Le fait que des logiciels malveillants comme celui-ci puissent passer sous le radar des systèmes classiques de protection des points finaux démontre la force de Verimatrix XTD dans la surveillance et la protection des applications mobiles.

Partager

Répertoire de menaces

Les chercheurs de Verimatrix démasquent un développeur d'applications diffusant des logiciels malveillants

Table des matières

Rester vigilant et se défendre contre les attaques par superposition

Rédigé par

Dr. Klaus Schenk

Partager ces informations sur la cybersécurité

Autres informations sur la cybersécurité

Tour d'horizon des menaces de cybersécurité #11 : Coper, Octo, CriminalMW, et plus encore

3 Impératifs de sécurité pour les fabricants d'applications pour véhicules en 2024

La prolifération des outils par rapport à l'absence totale d'outils de sécurité

Tour d'horizon des menaces de cybersécurité #10 : Joker, Samecoin, SpyNote, etc.