ANDROID : Applications dangereuses supprimées (malwares)

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 7720
Inscription : 02 juin 2012 20:48
Localisation : Quelque part à PARIS (pas le choix)
Contact :

Re: ANDROID : Applications dangereuses supprimées (malwares)

Message par Parisien_entraide »

Là on ne peut parler de malware mais néanmoins les applications citées sont à supprimer


DE QUOI S'AGIT T'IL ?


Source partielle : : https://www.futura-sciences.com/tech/ac ... or%3DRSS-8

Un million de smartphones Android, ainsi que des appareils Roku (Roku se présente comme étant le pionnier dans le domaine du streaming pour la télévision.) accédaient à des publicités à l'insu de leurs propriétaires.
Rocku lecteurs.png

"Comment gagner facilement de l'argent pendant la pandémie ?

Tout simplement en profitant de l'engouement pour les services de streaming et par conséquent des publicités affichées sur les TV connectées.
Un groupe de hackers a eu cette idée et a créé un botnet décrit comme l'un des plus sophistiqués du genre. Les cybercriminels ont fait passer plus d'un million de smartphones Android pour des téléviseurs afin de récolter des revenus publicitaires.

Le botnet a été repéré par l’entreprise de cybersécurité Human (anciennement White Ops) et baptisé Pareto, d'après le principe de Pareto où 80 % des effets sont produits par 20 % des causes.

L'ensemble des appareils infectés se connectaient à des liens publicitaires en moyenne 650 millions de fois par jour à l'insu de leurs propriétaires, en se faisant passer pour plus de 6.000 modèles de téléviseurs et boîtiers connectés."

Les opérateurs PARETO ont usurpé:

- Les joueurs Roku
- Les Téléviseurs Apple
- Amazon Fire Sticks
- Les téléviseurs intelligents LG
- Les vecteurs Google Chromecast


29 applications Android et 36 applications Roku concernées
Le malware a été distribué depuis au moins un an grâce à 29 applications dans le Play Store d’Android.



"Chaque appareil se connectait toutes les 30 secondes à un serveur de commande et contrôle (C&C) pour vérifier la présence de nouvelles instructions.
Après avoir identifié le serveur, Human a pu également repérer 36 applications sur les appareils Roku, bien que ceux-ci étaient moins actifs que ceux sur Android.

La firme a également transmis toutes les informations dont elle dispose aux autorités pour qu'ils puissent arrêter les responsables."

________________
Futura science ne veut pas se mouiller, car on sait qui est derrière

L’auteur de cette malicieuse arnaque serait TopTopMedia, une filiale du groupe israélien M51.

Cette entreprise a développé au moins 29 applications Android, en y intégrant l’interface de programmation TopTopSDK, au travers de laquelle cette mécanique frauduleuse était exécutée.
Ces programmes permettaient de simuler plus de 6000 applications de streaming et ont été téléchargées par plus d’un million de personnes. Ce qui a permis de générer plus de 650 millions de requêtes publicitaires par jour en moyenne.

Source initiale et explications techniques : https://www.humansecurity.com/blog/pare ... l-analysis


Google Play Store et Roku Channel Store ont supprimé toutes les applications, mais si elles figurent sur les smartphones ou appareils Roku, il faut les supprimer


Les applications Android à désinstaller
AnyLight.png

Code : Tout sélectionner

Any Light
Bump Challenge - MultiSport
Carpet Clean 3D
Flash Light
Hole Ball King
Light Torch SOS
Mobile Screen Recorder
Save The Balloons
Sling Puck 3D Challenge


Les applications ROKU à désinstaller

Code : Tout sélectionner

Balloon Madness
Bing Rush Vacations
Bingo Rush
Cinema Slots
Cool Slots
Cowboy Slots
Diamond Slots
Excavate Slots
Fantasy Slots
Fire Slots
Galactic Hero
Garden Slots
Jet Jumper
Lucky Slots
Mafia Slots
Mega Slots
Monster Crusher
Mythology Slots
Neon Slots
Ninja Slash
Ocean Slots
Pirate Slots
Spooky Slots
Sports Slots
Starx-Sort Puzzle
Valhalla Slots
Video Blackjack
Video Poker Casino
Video Poker Club
Video Poker Diamond
Video Poker Fortune
Video Poker London
Video Poker Old West
Video Poker Runway
Video Poker The Movies



Les domaines suivants sont des entrées DNS pour le serveur C2 dans le botnet PARETO

Code : Tout sélectionner

adadsrv.com[/b]
admarketingads.com
admguide.com
admmart.com
admobilerv.com
adservernet.co
adsrvus.com
adstreamrv.com
aminaday.com
digimobileworld.com
digitalmobilespace.com
fullfacility.net
iamadsco.com
kryptonads.com
mobileadsrv.com
publicitéforyou.com
rolladstech.com
springrollfit.com
streamadsonline.com
videoscommercials.com
webadsrv.com


Les adresses IP suivantes hébergent le SDK PARETO

Code : Tout sélectionner

18.208.2.37
34.200.125.153
34.217.164.136
34.236.25.172
44.229.182.18
44.239.30.63
44.239.49.7
44.240.64.187
52.10.147.102
52.202.198.13
52.23.54.114
52.25.201.50
52.25.80.222
52.34.130.165
52.39.34.238
52.70.161.99
54.144.32.227
54.68.196.177
54.69.50.228
54.86.138.219

Vous ne pouvez pas consulter les pièces jointes insérées à ce message.


Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 7720
Inscription : 02 juin 2012 20:48
Localisation : Quelque part à PARIS (pas le choix)
Contact :

Re: ANDROID : Applications dangereuses supprimées (malwares)

Message par Parisien_entraide »

Ca faisait longtemps...


On retrouve derrière le fameux malware "Joker" connu depuis 2019

https://arstechnica.com/gadgets/2021/04 ... you-money/

« le malware se greffe à des applications qui paraissent parfaitement normales et agit en arrière-plan pour dérober de précieuses informations sur vous et votre appareil ».

Ainsi, il parvient à vous abonner à des services facturés par la voie de vos SMS, en prenant soin de se placer en intermédiaire avant même que vous n’ayez le temps de recevoir les messages de confirmation.
Il n’est donc pas possible de recevoir quelconque notification d’abonnement, et vous voilà débité régulièrement, pour de petites sommes, de paiements que vous n’avez jamais demandé.


Téléchargées plus de 700 000 fois dans le monde, ces applications risquent de poser problème car on retrouve des applications courantes de photos, de fond d’écran, de clavier, ou encore de filtres.

Comme d'habitude c'est à désinstaller
Le magasin d’applications de Google, lui ne les propose plus (enfin en théorie car j'en ai retrouvé certaines)

La découverte émane de McAfee et non de Google

Code : Tout sélectionner

  Studio Keypaper 2021
    PiP Editor Camera
    My Favorites up Keypaper
    Super Color Hairdryer
    Hit Camera Pip
    Daynight Keyboard Wallpaper
    Super Star Ringtones
    App photo Editor
Cela fait suite aux autre applications découvertes récemment, avec comme par hasard des applis VPN pour Android


CakeVPn.png
On y retrouve l'AlienBot Banker qui cible les informations bancaires qui se trouvent sur les smartphones de ses victimes et tente de se frayer un chemin vers leurs comptes bancaires.
Le second, MRAT, prend la forme d’un cheval de Troie qui permet aux hackers d’accéder à distance aux smartphones contaminés et d’en prendre le contrôle une fois déployé sur les appareils.

Code : Tout sélectionner

    Cake VPN – com.lazycoder.cakevpns
    Pacific VPN – com.protectvpn.freeapp
    eVPN – com.abcd.evpnfree
    BeatPlayer – com.crrl.beatplayers
    QR / Barcode Scanner MAX – com.bezrukd.qrcodebarcode
    eVPN – Nom du package: com.abcd.evpnfree
    MusicPlayer – com.revosleap.samplemusicplayers
    tooltipnatorlibrary – com.mistergrizzlys.docscanpro
    QRecorder – com.record.callvoicerecorder


Là aussi la découverte émane d'un tiers "Check Point" et pas de Google

Il est toujours bon de regarder les autres applis développées par le même auteur (originaire du Bangladesh) où il y a donc lieu de se méfier
L'appli Cake VPN est toujours présente sur le google store
CakeVPN1.png
Idem pour eVPN toujours présent à ce jour dans le magasin Google. L'auteur est Pakistanais
yassir.png
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 7720
Inscription : 02 juin 2012 20:48
Localisation : Quelque part à PARIS (pas le choix)
Contact :

Re: ANDROID : Applications dangereuses supprimées (malwares)

Message par Parisien_entraide »

Si vous avez un smartphone Huawei et Honor

Plus de 500 000 utilisateurs sur l'AppGallery de Huawei infectés par le malware Joker (mais outre les Huawei et Honor visés, parce que l'appli est proposée par défaut, il est possible de l'installer sur tous les smartphones)


Pour rappel :

- Joker est aussi connu sous le nom de Bread
- Début 2020, Google a annoncé que depuis 2017, il avait supprimé environ 1700 applications infectées par Joker.
- De nouveaux échantillons de Joker apparaissent presque tous les jours dans le Play Store de Google, déclare Aviran Hazum, chercheur en sécurité mobile à Check Point.
- Le développeur de Joker adapte fréquemment le code pour ne pas être détecté (il y a 3 variants)

Le logiciel malveillant ne cible pas les appareils des États-Unis et du Canada..


Qu'est ce que Le Huawei AppGallery ?

Il s'agit d'une application (app store) alternative au Google Play Store pour télécharger des apps et des jeux Android.
Ces derniers vous permettent de télécharger les Huawei Mobile Services (HMS), qui sont également des alternatives aux Google Mobile Services (GMS). Vous pouvez installer ce store sur n’importe quel smartphone Android, y compris ceux de la marque Huawei et Honor.
huawei.png

"Dans un article de Doctor Web, on nous explique que des chercheurs en sécurité ont trouvé dix applications apparemment inoffensives dans l’AppGallery qui contenaient du code pour se connecter à un serveur distant afin de charger des données et des composants supplémentaires. La liste des applications malveillantes comprend des claviers virtuels, une application de caméra, un lanceur d’apps, une application de messageries instantanées, une application de peinture et un jeu.

Grâce à une autorisation système d’accès aux notifications, ils ont pu intercepter les codes de confirmation envoyés par le service d’abonnement par SMS. Cela permettait de voler de l’argent aux personnes touchées directement sur leur facture d’abonnement mobile."

La plupart d'entre eux provenaient d'un développeur (Shanxi Kuailaipai Network Technology Co., Ltd.) et deux d'un autre.

Code : Tout sélectionner

Superkeyboard (com.nova.superkeyboard)
    Happy Color (com.colour.syuhgbvcff)
    Fun Color (com.funcolor.toucheffects)
    New Keyboard 2021 (com.newyear.onekeyboard)
    Camera MX (com.sdkfj.uhbnji.dsfeff)
    Camera BeautyPlus (com.beautyplus.excetwa.camera)
    Color RollingIcon (com.hwcolor.jinbao.rollingicon)
    Funney Meme Emoji (com.meme.rouijhhkl)
    Happy Tapping (com.tap.tap.duedd)
    Messenger All-in-One (com.messenger.sjdoifo)
La liste complète est dispo ici https://github.com/DoctorWebLtd/malware ... EADME.adoc
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House

Répondre

Revenir à « Actualité & News Informatique »