Hummingbad, Tordow, Dresscode, Alphonso ; l’évocation de la présence de logiciels malveillants au sein du Play Store n’émeut plus tant les exemples pullulent. Fort d'une dizaine de milliers de téléchargements sur la boutique d’applications de la firme de Mountain View, Swift Cleaner vient gonfler cette liste.L’application est donc loin de souffrir d’un manque de popularité. Et pour cause, elle est connue de monsieur Tout-le-Monde comme un outil d’optimisation. Si un smartphone rame, c’est qu’il faut probablement débarrasser sa mémoire des résidus inutiles comme l’expliquent les experts en informatique. Dans ce cas, Swift Cleaner se chargera du nettoyage nécessaire pour remettre l’appareil mobile sur les starting-blocks. Seulement voilà, l’installation du logiciel introduit du même coup le malware baptisé ANDROIDOS_BKOTKLIND.HRX par l’équipe de Trend Micro dans un système.
Swift Cleaner qui abrite un malware ? Tout est possible, mais Trend Micro précise qu’il s’agit d’une version vérolée. Pour les non férus en technologies de l’information, la formulation la plus potable serait que Swift Cleaner contient le code malveillant d’ANDROIDOS_BKOTLIND.HRX. La technique est prisée des cybercriminels qui récupèrent une appli légitime, la désassemblent et y insèrent le code et les fichiers de leur maliciel. « N’importe quelle personne avec des connaissances basiques sur le développement Android peut le faire. Le résultat est une nouvelle application qui est similaire à l’originale, qui effectue toutes les fonctions légitimes indiquées, mais qui contient la fonctionnalité malicieuse dont les attaquants ont besoin », a expliqué le chercheur en sécurité Antoine Kiva dans le cadre de la campagne Tordow.
D’après ce que rapporte Trend Micro, ANDROIDOS_BKOTKLIND.HRX est doté de capacités d’exécution de commandes à distance ; le logiciel malveillant est également armé en capacité de collecte furtive de données. Trend Micro ajoute le transfert d’URL et la génération de clics frauduleux à l’arsenal du malware.
« Dès le lancement de Swift Cleaner, le maliciel envoie les informations relatives à l’appareil à son centre de contrôle et de commande et lance le service d’arrière-plan pour recevoir des tâches de ce dernier. Lors de la première infection de l’appareil, le malware va envoyer un SMS à un numéro spécifié par son centre de contrôle et de commande. Après réception d’une commande SMS, le serveur distant va exécuter le transfert d’URL et la génération de clics frauduleux », précise l’équipe Trend Micro.
Grosso modo, des fonctionnalités que l’on retrouve chez ses prédécesseurs. D’après Trend Micro, la particularité de ce dernier repose sur le fait qu’il a été développé en Kotlin, un nouveau langage lancé par Google en mai 2017 pour le développement d’applications pour son OS mobile. La firme de sécurité n’a pas trouvé de raison particulière au choix de ce dernier pour de tels desseins.
Dans un billet de blog paru début décembre, la firme de Mountain View apporte réponse à ces cas de figure. Google a décidé de s’attaquer aux applications qui collectent les données des utilisateurs sans leur consentement. En substance, il s’agit d’amener les développeurs à améliorer leur politique de confidentialité. Ils devront avertir les utilisateurs des comportements de collecte des données de leurs applications sans quoi Google s’en chargera à leur place. Les cybercriminels derrière de telles applications auront donc de plus en plus de mal à passer à travers les filets. En attendant, les utilisateurs désireux d’installer l’application prêteront une attention particulière au nombre de téléchargements indiqué. D’après ce que rapporte la firme de sécurité, l'application vérolée a été téléchargée entre 1000 et 5000 fois sur le Play Store.
Source
Trend Micro
Votre opinion
Faites-vous usage de Swift Cleaner ? Si oui, quelles dispositions avez-vous décidé de prendre ? Quel avantage le langage Kotlin pourrait-il conférer à un développeur de logiciels malveillants ?Voir aussi
Ce malware Android est capable de provoquer une surchauffe excessive d'un smartphone, Kasperky Labs publie des images des dégâts 
Envoyé par Patrick Ruiz
