ANDROID : Applications dangereuses supprimées (malwares)

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Avatar de l’utilisateur
Parisien_entraide
Messages : 8251
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: ANDROID : Applications dangereuses supprimées (malwares)

par Parisien_entraide »

Là on ne peut parler de malware mais néanmoins les applications citées sont à supprimer


DE QUOI S'AGIT T'IL ?


Source partielle : : https://www.futura-sciences.com/tech/ac ... or%3DRSS-8

Un million de smartphones Android, ainsi que des appareils Roku (Roku se présente comme étant le pionnier dans le domaine du streaming pour la télévision.) accédaient à des publicités à l'insu de leurs propriétaires.
Rocku lecteurs.png

"Comment gagner facilement de l'argent pendant la pandémie ?

Tout simplement en profitant de l'engouement pour les services de streaming et par conséquent des publicités affichées sur les TV connectées.
Un groupe de hackers a eu cette idée et a créé un botnet décrit comme l'un des plus sophistiqués du genre. Les cybercriminels ont fait passer plus d'un million de smartphones Android pour des téléviseurs afin de récolter des revenus publicitaires.

Le botnet a été repéré par l’entreprise de cybersécurité Human (anciennement White Ops) et baptisé Pareto, d'après le principe de Pareto où 80 % des effets sont produits par 20 % des causes.

L'ensemble des appareils infectés se connectaient à des liens publicitaires en moyenne 650 millions de fois par jour à l'insu de leurs propriétaires, en se faisant passer pour plus de 6.000 modèles de téléviseurs et boîtiers connectés."

Les opérateurs PARETO ont usurpé:

- Les joueurs Roku
- Les Téléviseurs Apple
- Amazon Fire Sticks
- Les téléviseurs intelligents LG
- Les vecteurs Google Chromecast


29 applications Android et 36 applications Roku concernées
Le malware a été distribué depuis au moins un an grâce à 29 applications dans le Play Store d’Android.



"Chaque appareil se connectait toutes les 30 secondes à un serveur de commande et contrôle (C&C) pour vérifier la présence de nouvelles instructions.
Après avoir identifié le serveur, Human a pu également repérer 36 applications sur les appareils Roku, bien que ceux-ci étaient moins actifs que ceux sur Android.

La firme a également transmis toutes les informations dont elle dispose aux autorités pour qu'ils puissent arrêter les responsables."

________________
Futura science ne veut pas se mouiller, car on sait qui est derrière

L’auteur de cette malicieuse arnaque serait TopTopMedia, une filiale du groupe israélien M51.

Cette entreprise a développé au moins 29 applications Android, en y intégrant l’interface de programmation TopTopSDK, au travers de laquelle cette mécanique frauduleuse était exécutée.
Ces programmes permettaient de simuler plus de 6000 applications de streaming et ont été téléchargées par plus d’un million de personnes. Ce qui a permis de générer plus de 650 millions de requêtes publicitaires par jour en moyenne.

Source initiale et explications techniques : https://www.humansecurity.com/blog/pare ... l-analysis


Google Play Store et Roku Channel Store ont supprimé toutes les applications, mais si elles figurent sur les smartphones ou appareils Roku, il faut les supprimer


Les applications Android à désinstaller
AnyLight.png

Code : Tout sélectionner

Any Light
Bump Challenge - MultiSport
Carpet Clean 3D
Flash Light
Hole Ball King
Light Torch SOS
Mobile Screen Recorder
Save The Balloons
Sling Puck 3D Challenge


Les applications ROKU à désinstaller

Code : Tout sélectionner

Balloon Madness
Bing Rush Vacations
Bingo Rush
Cinema Slots
Cool Slots
Cowboy Slots
Diamond Slots
Excavate Slots
Fantasy Slots
Fire Slots
Galactic Hero
Garden Slots
Jet Jumper
Lucky Slots
Mafia Slots
Mega Slots
Monster Crusher
Mythology Slots
Neon Slots
Ninja Slash
Ocean Slots
Pirate Slots
Spooky Slots
Sports Slots
Starx-Sort Puzzle
Valhalla Slots
Video Blackjack
Video Poker Casino
Video Poker Club
Video Poker Diamond
Video Poker Fortune
Video Poker London
Video Poker Old West
Video Poker Runway
Video Poker The Movies



Les domaines suivants sont des entrées DNS pour le serveur C2 dans le botnet PARETO

Code : Tout sélectionner

adadsrv.com[/b]
admarketingads.com
admguide.com
admmart.com
admobilerv.com
adservernet.co
adsrvus.com
adstreamrv.com
aminaday.com
digimobileworld.com
digitalmobilespace.com
fullfacility.net
iamadsco.com
kryptonads.com
mobileadsrv.com
publicitéforyou.com
rolladstech.com
springrollfit.com
streamadsonline.com
videoscommercials.com
webadsrv.com


Les adresses IP suivantes hébergent le SDK PARETO

Code : Tout sélectionner

18.208.2.37
34.200.125.153
34.217.164.136
34.236.25.172
44.229.182.18
44.239.30.63
44.239.49.7
44.240.64.187
52.10.147.102
52.202.198.13
52.23.54.114
52.25.201.50
52.25.80.222
52.34.130.165
52.39.34.238
52.70.161.99
54.144.32.227
54.68.196.177
54.69.50.228
54.86.138.219

Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House
Avatar de l’utilisateur
Parisien_entraide
Messages : 8251
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: ANDROID : Applications dangereuses supprimées (malwares)

par Parisien_entraide »

Ca faisait longtemps...


On retrouve derrière le fameux malware "Joker" connu depuis 2019

https://arstechnica.com/gadgets/2021/04 ... you-money/

« le malware se greffe à des applications qui paraissent parfaitement normales et agit en arrière-plan pour dérober de précieuses informations sur vous et votre appareil ».

Ainsi, il parvient à vous abonner à des services facturés par la voie de vos SMS, en prenant soin de se placer en intermédiaire avant même que vous n’ayez le temps de recevoir les messages de confirmation.
Il n’est donc pas possible de recevoir quelconque notification d’abonnement, et vous voilà débité régulièrement, pour de petites sommes, de paiements que vous n’avez jamais demandé.


Téléchargées plus de 700 000 fois dans le monde, ces applications risquent de poser problème car on retrouve des applications courantes de photos, de fond d’écran, de clavier, ou encore de filtres.

Comme d'habitude c'est à désinstaller
Le magasin d’applications de Google, lui ne les propose plus (enfin en théorie car j'en ai retrouvé certaines)

La découverte émane de McAfee et non de Google

Code : Tout sélectionner

  Studio Keypaper 2021
    PiP Editor Camera
    My Favorites up Keypaper
    Super Color Hairdryer
    Hit Camera Pip
    Daynight Keyboard Wallpaper
    Super Star Ringtones
    App photo Editor
Cela fait suite aux autre applications découvertes récemment, avec comme par hasard des applis VPN pour Android


CakeVPn.png
On y retrouve l'AlienBot Banker qui cible les informations bancaires qui se trouvent sur les smartphones de ses victimes et tente de se frayer un chemin vers leurs comptes bancaires.
Le second, MRAT, prend la forme d’un cheval de Troie qui permet aux hackers d’accéder à distance aux smartphones contaminés et d’en prendre le contrôle une fois déployé sur les appareils.

Code : Tout sélectionner

    Cake VPN – com.lazycoder.cakevpns
    Pacific VPN – com.protectvpn.freeapp
    eVPN – com.abcd.evpnfree
    BeatPlayer – com.crrl.beatplayers
    QR / Barcode Scanner MAX – com.bezrukd.qrcodebarcode
    eVPN – Nom du package: com.abcd.evpnfree
    MusicPlayer – com.revosleap.samplemusicplayers
    tooltipnatorlibrary – com.mistergrizzlys.docscanpro
    QRecorder – com.record.callvoicerecorder


Là aussi la découverte émane d'un tiers "Check Point" et pas de Google

Il est toujours bon de regarder les autres applis développées par le même auteur (originaire du Bangladesh) où il y a donc lieu de se méfier
L'appli Cake VPN est toujours présente sur le google store
CakeVPN1.png
Idem pour eVPN toujours présent à ce jour dans le magasin Google. L'auteur est Pakistanais
yassir.png
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House
Avatar de l’utilisateur
Parisien_entraide
Messages : 8251
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: ANDROID : Applications dangereuses supprimées (malwares)

par Parisien_entraide »

Si vous avez un smartphone Huawei et Honor

Plus de 500 000 utilisateurs sur l'AppGallery de Huawei infectés par le malware Joker (mais outre les Huawei et Honor visés, parce que l'appli est proposée par défaut, il est possible de l'installer sur tous les smartphones)


Pour rappel :

- Joker est aussi connu sous le nom de Bread
- Début 2020, Google a annoncé que depuis 2017, il avait supprimé environ 1700 applications infectées par Joker.
- De nouveaux échantillons de Joker apparaissent presque tous les jours dans le Play Store de Google, déclare Aviran Hazum, chercheur en sécurité mobile à Check Point.
- Le développeur de Joker adapte fréquemment le code pour ne pas être détecté (il y a 3 variants)

Le logiciel malveillant ne cible pas les appareils des États-Unis et du Canada..


Qu'est ce que Le Huawei AppGallery ?

Il s'agit d'une application (app store) alternative au Google Play Store pour télécharger des apps et des jeux Android.
Ces derniers vous permettent de télécharger les Huawei Mobile Services (HMS), qui sont également des alternatives aux Google Mobile Services (GMS). Vous pouvez installer ce store sur n’importe quel smartphone Android, y compris ceux de la marque Huawei et Honor.
huawei.png

"Dans un article de Doctor Web, on nous explique que des chercheurs en sécurité ont trouvé dix applications apparemment inoffensives dans l’AppGallery qui contenaient du code pour se connecter à un serveur distant afin de charger des données et des composants supplémentaires. La liste des applications malveillantes comprend des claviers virtuels, une application de caméra, un lanceur d’apps, une application de messageries instantanées, une application de peinture et un jeu.

Grâce à une autorisation système d’accès aux notifications, ils ont pu intercepter les codes de confirmation envoyés par le service d’abonnement par SMS. Cela permettait de voler de l’argent aux personnes touchées directement sur leur facture d’abonnement mobile."

La plupart d'entre eux provenaient d'un développeur (Shanxi Kuailaipai Network Technology Co., Ltd.) et deux d'un autre.

Code : Tout sélectionner

Superkeyboard (com.nova.superkeyboard)
    Happy Color (com.colour.syuhgbvcff)
    Fun Color (com.funcolor.toucheffects)
    New Keyboard 2021 (com.newyear.onekeyboard)
    Camera MX (com.sdkfj.uhbnji.dsfeff)
    Camera BeautyPlus (com.beautyplus.excetwa.camera)
    Color RollingIcon (com.hwcolor.jinbao.rollingicon)
    Funney Meme Emoji (com.meme.rouijhhkl)
    Happy Tapping (com.tap.tap.duedd)
    Messenger All-in-One (com.messenger.sjdoifo)
La liste complète est dispo ici https://github.com/DoctorWebLtd/malware ... EADME.adoc
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House
Avatar de l’utilisateur
Parisien_entraide
Messages : 8251
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: ANDROID : Applications dangereuses supprimées (malwares)

par Parisien_entraide »

L'Inde a répertorié 42 applications mobiles susceptibles de mener une cyberattaque contre le pays.

Un certain nombre d'applications Android/IOS développées par des développeurs chinois ou ayant des liens chinois seraient soit des logiciels espions, soit d'autres logiciels malveillants.

Certains sont utilisés en France comme 360security (la Sté d'édition d'Antivirus qui avait triché pour un comparatif de tests de type AV Tests)

2021-06-07_114508.png

et l'on retrouve d'autres bien connus comme le fameux Clean Master (Derrière l'éditeur, Cheetah Mobile on retrouve, Tencent est l'un des principaux investisseurs. On peut se poser alors des questions sur les jeux de Tencent, mais c'est un autre sujet)
Certains sont toujours présents sur le store ( les "DU" par exemple) et autres à ce jour

2021-06-07_114413.png

Code : Tout sélectionner

360 Security
APUS Browser
Baidu Map
Baidu Traduction, 
BeautyPlus
CM Browser
CacheClear DU apps studio
Clean Master - Cheetah Mobile
DU Battery Saver
DU Browser
DU Cleaner
DU Privacy
DU recorder
ES File Explorer
Mail Master
Mi Community
Mi Store
Mi Video call-Xiaomi 
NewsDog
Perfect Corp
Photo Wonder
QQ International
QQ Launcher  
QQ Mail
QQ Music
QQ NewsFeed
QQ Player
QQ Security Center
SHAREit
SelfieCity
Space
Truecaller
UC Browser
UC News
Vault-Hide
Virus Cleaner (Hi Security Lab)
VivaVideo- QU Video Inc, Parallel 
WeChat 
WeSync
Weibo 
Wonder Camera, 
YouCam Makeup

Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House
Avatar de l’utilisateur
Parisien_entraide
Messages : 8251
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: ANDROID : Applications dangereuses supprimées (malwares)

par Parisien_entraide »

D'autres applications sont là pour pirater vos comptes bancaires

Source : https://labs.bitdefender.com/2021/06/th ... n-android/

2021-06-07_115444.png

A la bas il y a un malware connu sous le nom de TeaBot (Il a également le nom d'Anatsa)


Il s’agit d’un cheval de Troie bancaire capable d’intercepter vos messages, permettant ainsi aux hackers de dérober vos codes d’authentification
TeaBot est apparu en décembre de l'année dernière, et déjà en mai de cette année, il est devenu connu pour ses attaques contre les clients des banques européennes.



Ce malware a été spécifiquement développé pour s’arroger un accès à votre compte bancaire, et notamment venir à bout de l’authentification à deux facteurs utilisée par de nombreux organismes bancaires, c’est pourquoi la menace est sérieuse.

Ces applications sont d’autant plus difficiles à débusquer qu’il s’agit de copies d’applications extrêmement populaires. « Elles n’ont aucune des fonctionnalités de la version originale. Elles demandent la permission d’accéder à d’autres applications, d’afficher des notifications et d’installer des applications en dehors du Play Store, après quoi elles cachent leur icône » expliquent les chercheurs de Bitdefender.


Certaines cumulent déjà plus de 50 millions de téléchargements, c’est pourquoi vous feriez bien de faire un petit tour dans vos réglages pour vérifier qu’aucune d’entre elles ne s’y trouvent. Notez que, comme il s’agit de copies, vous devrez chercher les applications correspondant aux noms exacts que voici :

Code : Tout sélectionner

BookReader
Kaspersky: Free Antivirus
PlutoTV
Rocycnyru: THIS Bosbpat
Uplift: Health and Wellness App
VLC MediaPlayer


Il faut un oeil exercé pour noter les différences entre l'application légitime et celle infectée
2021-06-07_120255.png

ATTENTION ! Ce ne sont que les applications détectées au moment du rapport, rien ne dit que de nouvelles ne vont pas apparaitre ou pire passer les "faibles" barrières du store Google

La bonne nouvelle, (pour l'instant) c'est que les versions malveillantes des applications ne sont pas hébergées sur le site officiel Google Play Store , mais sont stockées sur des sites tiers.
Comment exactement les attaquants attirent les victimes vers de tels sites ? - Les experts ont encore du mal à répondre.

Néanmoins dans les méthodes identifiées, il y a le phishing (même méthode que le malware Flubot) avec la réception d'un SMS de type
Bonjour <CONTACT_NAME>, confirmez vos informations d'identification pour la livraison d'aujourd'hui, sinon votre colis sera renvoyé à l'expéditeur : <MALWARE_DOWNLOAD_LINK>

Si vous cliquez, un peu plus tard apparaitra un message sous la forme (il y a plusieurs modèles) pour vous inciter à télécharger une application

2021-06-07_120859.png


Comme le précise Bitdefender :

Voici la liste de toutes les banques ciblées par le Teabot, mais il y a une mise en garde : ses opérateurs peuvent l'adapter à tout moment, ajouter plus de banques ou supprimer le support pour certaines. La liste est valable pour le moment, mais elle est susceptible de changer à l'avenir.


L Espagne, l'Italie et les Pays-Bas sont très ciblés ensuite viennent la Belgique et la France


Au moment de l'étude :
2021-06-07_121054.png
2021-06-07_121110.png
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Actualité & News Informatique »