Une souche plus sophistiquée de logiciel malveillant Android capable de démarrer automatiquement et de mener des attaques sans interaction avec l’utilisateur a été découverte.
Les chercheurs de McAfee ont découvert une nouvelle variante plus dangereuse du logiciel malveillant Android XLoader, capable de démarrer automatiquement sur les appareils Android infectés sans interaction de la part de l’utilisateur. Cette variante, également connue sous le nom de MoqHao, appartient à une famille de logiciels malveillants active depuis 2015 et exploitée par le groupe de menaces Roaming Mantis, avec des attaques ciblant des utilisateurs en France, en Allemagne, au Japon, en Corée du Sud, à Taïwan, au Royaume-Uni et aux États-Unis.
La nouveauté de cette variante réside dans sa capacité à démarrer automatiquement sur les appareils infectés sans aucune interaction de l’utilisateur, une technique d’exécution automatique découverte pour la première fois en juillet 2022. La méthode de distribution reste la même : des messages textuels dirigent les victimes vers un lien de téléchargement de l’application malveillante, déguisée en Google Chrome.
Une fois installée, la variante XLoader peut commencer à exécuter des activités malveillantes en arrière-plan. Cette version exige des utilisateurs qu’ils accordent des autorisations étendues, notamment pour permettre à l’application de fonctionner en arrière-plan et d’accéder à des données sensibles telles que des fichiers et des messages. En outre, le logiciel malveillant demande à être défini comme l’application de messagerie par défaut pour aider à «prévenir le spam», ce qui accroît encore son potentiel malveillant.
Les criminels à l’origine de cette attaque ont préparé des messages pop-up en plusieurs langues, ciblant les utilisateurs dans des régions géographiques spécifiques. Une fois sous contrôle, XLoader est capable d’afficher des messages d’hameçonnage et d’ajuster automatiquement le contenu en fonction de l’emplacement de l’utilisateur, en exploitant les profils Pinterest pour obtenir des messages et des URL d’hameçonnage.
Si l’astuce de Pinterest ne fonctionne pas, le logiciel malveillant recourt à des messages de phishing prédéfinis indiquant des problèmes avec le compte bancaire de la victime, l’incitant à prendre des mesures immédiates. XLoader peut exécuter un large éventail de commandes à distance, y compris la collecte et l’envoi d’informations personnelles au serveur de contrôle.
McAfee précise que les appareils Android dont les services Google Play et Google Play Protect sont activés sont protégés contre ce type de malware. Toutefois, il reste essentiel de télécharger des applications exclusivement à partir de sources fiables telles que le Google Play Store. Google travaille également sur des mesures préventives contre ce type d’exécution automatisée dans les futures versions d’Android, probablement à partir d’Android 15.
Source : McAfee