Les virus parviennent à ne pas être détectés pendant l'étape de validation par Google. © Geralt, Pixabay
Tech

Le virus Joker est de retour sur Android

ActualitéClassé sous :Informatique , Android , Sécurité

-

Tenace, le malware Joker est parvenu une fois de plus à déjouer les sécurités du Play Store. Cette fois il s'est dissimulé dans une application de personnalisation des SMS ludique et aux abords inoffensifs.

Cela vous intéressera aussi

[EN VIDÉO] Nos smartphones tuent-ils les insectes ?  Les insectes sont gravement menacés par les pesticides, l’urbanisation et l’agriculture intensive. Mais les ondes des téléphones portables pourraient aussi leur être nuisibles. 

Impossible de s'en débarrasser ! Le virus Joker qui s'invite depuis près de quatre ans dans la boutique d'applications de Google a encore été détecté la semaine dernière. C'est le spécialiste de la cybersécurité Pradeo qui l'a identifié dans une application du nom de Color Message. Cette application, qui était conçue pour rendre plus ludiques les échanges de SMS avec sa collection d'émoticônes, a été supprimée il y a quelques jours du Play Store. Le souci, c'est qu'elle avait eu le temps d'être téléchargée plus de 500.000 fois. Pradeo, qui en a fait son « autopsie », affirme que la charge virale venait se connecter à des serveurs russes.

Avec une telle application, Joker disposait d'un container idéal. Pour l'utiliser, il fallait lui donner les autorisations d'accès aux contacts et à aux contenus des messages, ainsi qu'à la gestion des SMS. De quoi faciliter la collecte de données pour alimenter des campagnes de phishing, par exemple. Ces mêmes campagnes qui permettent de récupérer des identifiants et pourquoi pas mettre la main sur le code de protection par double facteur reçu par SMS justement.

Terriblement discret

De même, la mainmise sur l'application de messagerie peut permettre d'abonner l'utilisateur sans qu'il ne le sache à des services payants via SMS. Si le malware Joker revient sans cesse dans la galerie de Google, c'est qu'il est très difficile à détecter en raison de sa faible empreinte. Cet été, Joker avait déjà été déniché dans huit applications pour Android. Un moindre mal puisqu'il était auparavant présent dans des centaines d'applications. Encore une fois, malgré les progrès de Google en matière de sécurité de son Play Store, mieux vaut ne pas trop sortir des sentiers battus et opter pour des applications notoirement fiables.

Pour en savoir plus

Android : le virus Joker est de retour et il touche 17 applications populaires

Depuis trois ans, ce virus infecte régulièrement des applications présentes sur le Play Store. Le principe reste le même : espionner vos données personnelles pour ensuite vous abonner à des services payants. Voici la liste des 17 applications infectées, à désinstaller d'urgence.

Article de Fabrice Auclert, publié le 06/01/2021

On pensait qu'il avait disparu, mais le virus Joker continue de venir hanter la boutique d'applications Google. Malware en vigueur depuis 2017, il avait été aperçu cet été, et le revoilà qui vient d'infecter pas moins de 17 applications. Bien évidemment, il faut les désinstaller tandis que Google les a déjà supprimées de son Play Store.

Ce sont des chercheurs de l'équipe ThreatLabz, de la société de sécurité cloud Zscaler, qui ont identifié les 17 applications vérolées, et comme c'est le cas à chaque fois, le virus se cache dans un composant d'une application qui semble parfaitement commune et sans danger. Joker procède alors en plusieurs étapes. D'abord, comme un cheval de Troie, il s'exécute au premier lancement de l'application. Il se charge donc en arrière-plan, et il en profite alors pour lancer le téléchargement d'un composant bien plus nuisible.

Voici la liste des 17 applications infectées par le virus Joker. © Futura

Ne donnez pas accès à vos SMS ni à votre répertoire

C'est à partir de là, toujours en arrière-plan et sans qu'il soit détectable, qu'il entame sa phase d'espionnage : SMS, listes des contacts, identifiant et mot de passe saisis... Et le pire est à venir puisque le malware est capable ensuite d'abonner l'utilisateur à des services payants ! Il faut donc surveiller de près les applications qui ont accès aux SMS et aux listes des contacts, et surtout ne pas leur en donner l'accès !

Souvent, l'utilisateur répond « oui » aux différentes fenêtres sans se rendre compte qu'il rend ainsi accessibles des fonctions privées du téléphone que les pirates peuvent exploiter. Autre conseil : regardez les avis publiés sur une application avant de les télécharger, mais aussi le nombre d'étoiles. Les applications vérolées sont souvent démasquées par des utilisateurs.


Android : attention à ce virus qui vous abonne à des services payants

Depuis 2017, le malware Joker infecte des applications Android, et onze d'entre elles continuent de piéger les utilisateurs en les forçant à s'abonner à des services payants. Cette nouvelle variante parvient à passer outre les étapes de validation et de sécurité de Google.

Publié le 10/07/2020 par Fabrice Auclert

Le jeu du chat et la souris continue entre les pirates et le Google Play puisque la société Check Point a découvert de nouvelles traces de Joker, un malware identifié en 2017, et que l'on pensait éradiqué. Sa spécialité ? Se cacher dans des applications classiques et populaires pour activer le paiement à des services « in-app », comme des options payantes. Le tout à l'insu de l'utilisateur.

Ce jeudi, les experts en sécurité de Check Point ont ainsi découvert sa présence dans onze applications, et elles cumulent 500.000 téléchargements. Le plus inquiétant, c'est bien évidemment que ces onze applications soient disponibles depuis le Play Store. Cette variante de Joker a trouvé un nouveau moyen de jouer les chevaux de Troie pour se cacher dans les applications, et ainsi ensuite s'incruster dans le smartphone. Le malware se cache dans le fichier manifeste que chaque développeur doit intégrer à son application, et placé à la racine du dossier de l'application. On y trouve des informations sur l'auteur, le logo, la version, etc.

La partie de code en vert cache les commandes pour activer le malware. © Check Point

Le malware se cache pendant la phase de validation 

Dans ce fichier, Joker y place du code malveillant, mais il est codé en base 64, et donc non identifiable. Pendant que Google examine le fichier de l’application pour sa validation, le code est inactif. Dès que la validation est effective et que les contrôles de sécurité sont passés, alors le serveur des pirates lance la commande cachée dans ce code et le malware peut ainsi s'activer.

Alerté, Google a immédiatement supprimé ces applications de sa boutique, mais il est évidemment recommandé de les désinstaller. Il s'agit de ImageCompress, WithMe Texts, FriendSMS, Relax Relaxation, Cherry Messages, LovingLove Message, RecoveFiles, RemindMe Alarm et Training Memory Game. Il est aussi conseillé de regarder son compte bancaire et de vérifier qu'il n'y a pas eu de prélèvements frauduleux.

Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour. Toutes nos lettres d’information

!

Merci pour votre inscription.
Heureux de vous compter parmi nos lecteurs !