Necro se cache dans certaines apps du Play Store - © BigTunaOnline / Shutterstock
Necro se cache dans certaines apps du Play Store - © BigTunaOnline / Shutterstock

Plus de 11 millions d'appareils Android ont été touchés par Necro, un malware qui s'est glissé dans le Google Play Store. Ce botnet se dissimule grâce à la stéganographie et se propage ensuite via des applications populaires.

Bis repetita. Cinq ans après une première vague d'infections, le botnet Necro refait surface sur Android via le Play Store. Cette fois-ci, les hackers ont réussi à contaminer deux applications populaires : Wuta Camera et Max Browser, qui ont totalisé 11 millions de téléchargements.

Il ne s'agit là que de la partie émergée de l'iceberg. Ce perfide cheval de Troie s'est également propagé via des versions modifiées d'applications bien en vue comme Spotify, WhatsApp ou Minecraft, distribuées sur des sites tiers. Si le scénario est bien connu, Necro reste particulier. Il utilise une technique plutôt sophistiquée qui lui permet de passer sous les radars des systèmes de sécurité de Google.

La stéganographie au service des hackers pour propager Necro

Les créateurs de Necro ont décidé de se fouler pour dissimuler leur malware. Ils ont eu recours à une technique rarement utilisée dans le domaine des malwares mobiles : la stéganographie. Cette méthode consiste à cacher des informations dans un support en apparence inoffensif, ici une simple image PNG. Ce sont les chercheurs de Kaspersky qui ont découvert le pot aux roses.

En revanche, comme bien souvent, le processus est aussi simple qu'efficace. Une fois l'application infectée installée sur un appareil, elle contacte un serveur contrôlé par les prédateurs. Celui-ci répond en envoyant un lien vers ce PNG qui s'avère plus dangereux qu'il n'y paraît. Dans les valeurs des pixels, plus précisément dans le canal bleu, se trouve un fichier JAR encodé. Ce fichier contient le code malveillant qui sera exécuté sur l'appareil de la victime.

Pour extraire ce code caché, Necro utilise un algorithme relativement simple. Il commence par vérifier l'intégrité de l'image reçue en comparant son empreinte MD5. Si tout est en ordre, il procède à l'extraction des données. Les quatre premiers octets du canal bleu indiquent la taille de la charge utile encodée. Ensuite, le malware reconstitue le fichier JAR à partir des octets suivants, le décode de son format Base64, et le charge en mémoire pour l'exécuter.

Cette technique permet au malware de passer inaperçu lors des contrôles de sécurité traditionnels. Après tout, qui se méfierait d'une simple image ? Vous, peut-être désormais.

Ne cédez pas à la tentation d'un mod de Spotify trop beau pour être vrai - © Taner Muhlis Karaguzel / Shutterstock
Ne cédez pas à la tentation d'un mod de Spotify trop beau pour être vrai - © Taner Muhlis Karaguzel / Shutterstock

Spotify, Minecraft, WhatsApp… Comment s'assurer que ces applications ne sont pas infectées par Necro ?

En dehors des applications en elles-mêmes, Necro a également infecté des versions modifiées d'applications très prisées, distribuées sur des sites tiers. Parmi elles, on trouve des mods de Spotify, WhatsApp, Minecraft, Stumble Guys, Car Parking Multiplayer et Melon Sandbox.

Ces versions promettent souvent des fonctionnalités supplémentaires ou un accès gratuit à des services normalement payants, attirant ainsi de nombreux utilisateurs plus attirés par l'appât du gain qu'attentifs aux pièges éventuels.

À découvrir
Meilleur antivirus pour Android, le comparatif en 2024

29 novembre 2024 à 15h14

Comparatifs services

Pour éviter de tomber dans le panneau de Necro, voici quelques recommandations :

  • Privilégiez toujours les sources officielles comme le Google Play Store pour télécharger vos applications. Même si ce n'est pas une garantie absolue, comme en témoignent ces « jumelles maléfiques » qui l'ont empoisonné, c'est déjà plus sûr que les sites tiers ;
  • Méfiez-vous des versions modifiées d'applications populaires, surtout celles qui promettent des fonctionnalités premium gratuitement. Si c'est trop beau pour être vrai, c'est probablement le cas, c'est que ça n'est pas vrai en fait ;
  • Gardez vos applications à jour. Si vous avez installé Wuta Camera ou Max Browser, vérifiez que vous disposez des dernières versions où le code malveillant a été supprimé ;
  • Installez une solution de sécurité fiable sur votre appareil Android, comme l'une de celles que nous vous proposons dans le comparatif publié ci-dessus. Ces outils peuvent détecter et bloquer les tentatives d'installation de logiciels malveillants comme Necro ;
  • Enfin, avant d'installer une application, prenez le temps de lire les avis des utilisateurs, en particulier ceux avec des notes basses. Ils peuvent révéler des problèmes potentiels.
  • Plus de 2,5 millions de références disponibles
  • Navigation intuitive
  • Téléchargements et paiements sécurisés
8 / 10

Source : Ars Technica