Les utilisateurs d'Android doivent être attentifs aux nouveaux logiciels malveillants qui se propagent par le biais de WhatsApp et qui attirent les victimes potentielles en les incitant à télécharger une application depuis un site web se faisant passer pour Google Play. Lukas Stefanko, chercheur en logiciels malveillants d'ESET, a analysé en profondeur ces menaces.
« Ce logiciel malveillant se répand via la messagerie WhatsApp de la victime, répondant automatiquement à toute notification de message WhatsApp avec un lien vers une fausse et malveillante application Huawei Mobile », explique. Le Ce logiciel malveillant, qui a été signalé pour la première fois par l'utilisateur de Twitter @ReBensk, semble être principalement destiné à générer des revenus publicitaires frauduleux pour ses opérateurs.
Afin d'installer l'application malveillante, les utilisateurs sont invités à autoriser l'installation d'applications à partir d'autres endroits que la boutique officielle de Google Play, supprimant ainsi une clé - et activée par défaut - de précaution de sécurité sur les appareils Android.
Une fois le processus d'installation terminé, l'application demande un certain nombre d'autorisations, dont l'accès aux notifications, qui, en combinaison avec la fonction de réponse directe d'Android, est utilisée pour assurer qu’elle soit vermouillable.
« En combinant ces deux fonctionnalités, le malware peut répondre efficacement avec un message personnalisé à tout message de notification WhatsApp reçue », précise Stefanko. Le logiciel malveillant s'exécute ensuite en arrière-plan jusqu'à ce qu'il récupère une réponse du serveur en attendant un message de notification WhatsApp qui est ensuite utilisé pour distribuer le lien malveillant aux contacts de la victime.
L'application malveillante demande également d'autres autorisations, notamment d'utiliser d'autres applications, ce qui lui permet de se superposer à toute autre application s'exécutant sur l'appareil, et d'ignorer l'optimisation de la batterie, ce qui lui permet de s'exécuter en arrière-plan et empêche le système de le tuer même s'il commence à épuiser la puissance et les ressources de l'appareil.
« Le ver se propage par messages aux contacts de WhatsApp uniquement lorsque le dernier message reçu par la victime a été envoyé il y a plus d'une heure », souligne M. Stefanko, ajoutant qu'il pense que cela est fait pour ne pas éveiller les soupçons des contacts de la victime, car la réception d'un lien en réponse à chaque message pourrait déclencher l'alarme.
LECTURE COMPLÉMENTAIRE : Une arnaque se fait passer pour WhatsApp et prétend offrir un accès Internet gratuit
Actuellement, l'application semble être principalement utilisée dans une campagne de logiciels publicitaires (ou adware) ou d'escroquerie à l'abonnement, mais elle pourrait servir de bien plus sombres desseins. « Ce logiciel malveillant pourrait éventuellement diffuser des menaces plus dangereuses, puisque le texte du message et le lien vers l'application malveillante sont reçus du serveur de l'attaquant. Il pourrait simplement distribuer des chevaux de Troie bancaires, des rançongiciels ou des espiongiciels », précise Stefanko.
Pour vous protéger, la meilleure solution serait d'éviter de cliquer sur des liens suspects, de ne télécharger que des applications de Google Play et d'utiliser une solution de sécurité réputée.