En analysant des offres de vente d’applications malveillantes sur Google Play via le Darknet, les experts de Kaspersky ont découvert que certaines applications mobiles malveillantes, ainsi que des comptes de développeurs d’app stores, y sont vendus à des tarifs pouvant atteindre jusqu’à 20 000 USD. Sur la base des données collectées par la Kaspersky Digital Footprint Intelligence, les chercheurs ont pu recueillir des exemples sur neuf forums différents du Darknet où l’achat et la vente de biens et de services liés aux logiciels malveillants sont pratiqués. Le rapport explique comment les menaces vendues sur le Darknet se retrouvent sur Google Play, et dévoile également la nature des offres disponibles, les fourchette de prix proposés, les modalités des communications et des accords conclus entre les cybercriminels.
Même si les magasins d’applications officiels font l’objet d’un contrôle rigoureux, les services de modération ne peuvent pas toujours détecter les applications malveillantes avant qu’elles ne soient rendues disponibles sur leur plateforme. Chaque année, un grand nombre d’applications malveillantes sont supprimées de Google Play, mais seulement après que des victimes aient été infectées. C’est sur le Darknet, un monde numérique souterrain avec des règles, des prix de marché et des institutions de renom qui lui sont propres, que les cybercriminels se rassemblent pour acheter et vendre des applications malveillantes destinées à Google Play, ainsi que des fonctions supplémentaires pour améliorer leurs oeuvres et même en faire la publicité.
Comme sur les forums légitimes de vente de marchandises, il existe sur le Darknet des offres destinées à différents besoins pour des clients ayant des budgets différents. Pour publier une application malveillante, les cybercriminels ont besoin d’un compte Google Play et d’un code de téléchargement malveillant (Google Play Loader). Un compte de développeur peut y être acheté à bas prix, pour des sommes allant de 200 USD à seulement 60 USD. Le coût des chargeurs malveillants varie entre 2 000 et 20 000 dollars, en fonction de la complexité du logiciel malveillant à transférer, de la nouveauté et de la prévalence du code malveillant, ainsi que des fonctionnalités supplémentaires.
Le plus souvent, il est suggéré que les logiciels malveillants distribués se cachent sous des trackers de crypto-monnaie, des applications financières, des scanners de codes QR ou encore des applications de rencontres. Dans leurs offres, les cybercriminels soulignent également le nombre de téléchargements de la version légitime de l’application concernée, qui reflète le nombre de victimes potentielles pouvant être infectées en mettant à jour l’application et en y injectant du code malveillant. Le plus souvent, ces chiffres indiquent 5 000 téléchargements ou plus.
Moyennant un supplément, les cybercriminels peuvent pratiquer l’obfuscation de code sur une application malveillante pour la rendre plus difficile à détecter par les solutions de cybersécurité. Pour augmenter le nombre de téléchargements d’une application malveillante, de nombreux attaquants proposent également d’acheter des installateurs, ce qui permet d’orienter le trafic vers les annonces Google et d’inciter davantage d’utilisateurs à télécharger l’application. Le coût de ces installateurs varie d’un pays à l’autre, avec un prix moyen de 0,50 USD, les offres allant de 0,10 USD à plusieurs dollars. Dans l’une des offres identifiées, les publicités destinées aux utilisateurs des États-Unis et de l’Australie présentaient les coûts les plus élevés, soit 0,80 USD en moyenne.
Les agents malveillants proposent trois types de contrats : une part du bénéfice final, la location ou encore l’achat d’un compte ou d’un produit malveillant fini dans sa totalité. Certains vendeurs organisent même des ventes aux enchères pour acheter leurs produits, car beaucoup d’entre eux limitent le nombre de lots vendus. Par exemple, dans l’une des offres analysées au cours du travail de recherche, le prix de départ était de 1 500 dollars, avec des paliers de 700 dollars dans l’enchère, et le blitz (l’achat instantané pour le prix le plus élevé) était de 7 000 dollars.
Les vendeurs du Darknet peuvent également proposer de publier l’application malveillante pour l’acheteur afin qu’il n’interagisse pas directement avec Google Play, mais qu’il puisse tout de même recevoir à distance toutes les données collectées sur la victime. Certes, avec ce genre d’offres, le développeur pourrait facilement duper, mais il est courant que les vendeurs du Darknet tentent de préserver et maintenir leur réputation, en promettant des garanties ou en acceptant le paiement une fois que les conditions de l’accord ont été remplies. Pour réduire les risques lors des transactions, les cybercriminels ont souvent recours aux services d’intermédiaires désintéressés, connus sous le nom d'”escrow”. L’entiercement peut devenir un service spécial et être pris en charge par une plateforme fantôme, ou par un tiers qui n’a pas d’intérêt pour les résultats de la transaction.
« Les applications mobiles malveillantes sont toujours l’une des principales cybermenaces concernant les utilisateurs, avec plus de 1,6 million d’attaques mobiles détectées en 2022. En parallèle, la qualité des solutions de cybersécurité qui protègent les utilisateurs de ces attaques augmente également. Sur le Darknet, nos experts ont trouvé des messages de cybercriminels se plaignant du fait qu’il est désormais beaucoup plus difficile pour eux de publier leurs applications malveillantes dans les boutiques officielles. Quoi qu’il en soit, les utilisateurs doivent rester vigilants et examiner soigneusement les applications qu’ils téléchargent », commente Alisa Kulishenko, experte en sécurité chez Kaspersky.
Vous trouverez d’autres exemples de menaces diffusées via Google Play vendues sur le Darknet dans le rapport complet sur Securelist.
Pour rester à l’abri des menaces mobiles, Kaspersky fait les recommandations suivantes :
– Vérifiez les autorisations des applications que vous utilisez et réfléchissez bien avant de valider les autorisations d’une application, en particulier lorsqu’il s’agit d’autorisations à haut risque telles que l’utilisation des services d’accessibilité. La seule autorisation dont une application de lampe de poche a besoin est celle de la lampe de poche (qui n’implique même pas l’accès à l’appareil photo).
– Une solution de sécurité fiable peut vous aider à détecter les applications malveillantes et les logiciels publicitaires avant qu’ils ne se comportent bizarrement sur votre appareil.
– Les utilisateurs d’iPhone disposent de certains contrôles de confidentialité fournis par Apple. Ils peuvent bloquer l’accès des applications aux photos, aux contacts et aux fonctions GPS s’ils estiment que ces autorisations ne sont pas nécessaires.
– Mettez à jour votre système d’exploitation et les applications importantes dès que des mises à jour sont disponibles. De nombreux problèmes de sécurité peuvent être résolus en installant des versions actualisées des logiciels
Aucune réponse