Un nouveau malware fait parler de lui sur Android. Surnommé Anatsa, ce dernier s’en prend aux données bancaires de propriétaires de smartphone au petit robot vert.
C’est désormais devenu tristement habituel, un nouveau logiciel malveillant s’est infiltré sur le Play Store pour tenter d’infecter les téléphones d’utilisatrices et d’utilisateurs européens. Repéré par les spécialistes de la cybersécurité de chez ThreatFabric, Anatsa prend d’abord l’allure d’une application tout à fait innocente avant de se transformer en espion surpuissant capable de prendre le contrôle d’un téléphone et de voler de données personnelles, notamment bancaires.
Quelles applications sont concernées ?
Concrètement, Anatsa s’installe sur un téléphone en squattant des applications à l’apparence légitime. Ici, il s’agit par exemple d’applications de « nettoyage » du téléphone ou de lecteurs de PDF. En tout, ThreatFabric a repéré 5 applications malicieuses. Un bon nombre d’entre elles ont réussi à se hisser dans le haut du classement des applications gratuites les plus populaires sur Android en cumulant entre 10 000 et 100 000 téléchargements chacune.
Les apps identifiées comme malveillantes ont désormais été supprimées du Play Store par Google et leurs empreintes ont été ajoutées au mécanisme Play Protect qui scanne les apps installées sur un téléphone Android. Vos données bancaires devraient donc être en sécurité pour le moment. Néanmoins, si vous avez encore une des applications suivantes installées, supprimez là de toute urgence :
- Phone Cleaner – File Explorer (com.volabs.androidcleaner)
- PDF Viewer – File Explorer (com.xolab.fileexplorer)
- PDF Reader – Viewer & Editor (com.jumbodub.fileexplorerpdfviewer)
- Phone Cleaner : File Explorer (com.appiclouds.phonecleaner)
- PDF Reader : File Manager (com.tragisoap.fileandpdfmanager)
Habituellement, Google boute rapidement les applications malveillantes de son magasin d’application, mais ici les logiciels présents sur le Play Store utilisent des techniques pernicieuses pour infecter le téléphone de leurs victimes.
L’Europe particulièrement ciblée
En demandant l’accès aux paramètres d’accessibilité sous des prétextes fallacieux (comme pour mettre en hibernation des apps trop consommatrices de batterie) l’appli s’autorise à exécuter des actions sans l’intervention de l’utilisateur ou l’utilisatrice. Ensuite, l’app reste tranquille pendant une semaine au moins histoire de ne pas éveiller les soupçons, puis, à la faveur d’une mise à jour, télécharge (en plusieurs fois pour ne pas déclencher d’alarme) le bout de code malveillant.
L’existence d’Anatsa n’est pas exactement nouvelle. Le malware avait déjà été repéré en novembre 2023 lors d’une grande tentative d’infestation concentrée sur des pays comme l’Allemagne, le Royaume-Uni ou l’Espagne. Les victimes européennes de cette nouvelle vague sont quant à elles majoritairement situées en Slovaque, en Slovénie et en République tchèque. Il semblerait aussi que cette version du malware ait été spécifiquement créée pour infecter les mobiles Samsung avec leur surcouche OneUI.
Néanmoins, il n’est jamais inutile de bien vérifier que son téléphone n’est pas infecté et de passer un peu en revue les autorisations des applications et celles qui ont accès aux paramètres d’accessibilité (au sein du menu Paramètres puis Accessibilité). Le printemps arrive, l’occasion de faire du ménage aussi.
Source : ThreatFabric via Bleeping Computer