UN MALWARE JOKER FRAPPE À NOUVEAU SUR LE PLAY STORE

"Amusez-vous dans vos chats avec ces superbes autocollants emoji...", c'est ainsi que commence la description de l'application "Funny Emoji Sticker". Ce qu'elle ne vous dit pas, c'est qu'en plus de ces autocollants, sans aucun doute géniaux, un logiciel malveillant s'installe sur votre appareil.

L'application a été supprimée du Play Store le 5 avril, tandis que sa sœur, "Cute Sticker", a été supprimée le 4 avril.

Ces deux applications ont été lancées le 29/03/2023 et totalisent plus de 15 000 téléchargements.

La grande majorité de ces téléchargements sont probablement générés par les créateurs car il n'y a aucun commentaire, mais pour quelqu'un qui ne prêterait pas attention aux commentaires et ne verrait que le nombre de téléchargements, il s'agit d'un chiffre convaincant.

Le logiciel malveillant à l'origine de ces deux applications appartient à la famille "Joker", un logiciel malveillant bien connu qui tente dans la plupart des cas de faire payer les victimes insoupçonnées en les abonnant à des services premium.

Comment l'application abonne-t-elle les utilisateurs ?

Dès que l'application est installée et que l'utilisateur l'ouvre, elle effectue immédiatement plusieurs vérifications en arrière-plan pour valider l'environnement dans lequel elle s'exécute. Elle tente ensuite de télécharger et de charger dynamiquement un fichier qui constitue la charge utile de la première étape et qui contient un code malveillant. La figure suivante montre la requête effectuée et la réponse reçue par le serveur, telles qu'elles ont été interceptées à l'aide de Burp :

Notez que la réponse du serveur est une redirection (302) vers un autre emplacement où se trouve le fichier juicy dex.

Dans le cas où la demande est faite par un pays pour lequel l'IP n'est pas sur la liste d'autorisation du côté du serveur, le serveur répond de manière anodine avec ce qui suit :

L'analyse du fichier dex chargé dynamiquement révèle qu'il fait essentiellement deux choses importantes : il télécharge et charge un autre fichier .dex tout en suggérant à l'utilisateur d'autoriser l'application à écouter toutes les notifications.

La figure suivante montre un extrait du code contenu dans le fichier dex téléchargé :

Comme le montre également l'extrait, l'utilisateur est redirigé vers la page des paramètres qui l'incite à accorder à l'application l'autorisation d'écouter les notifications. Un toast est également présenté dans une langue basée sur le code pays du mobile (MMC). Le MMC 260 correspond à la Pologne et le 286 à la Turquie, ce qui pourrait indiquer que l'application est destinée à ces pays. Il convient de noter que dans le même fichier dex chargé, une autre vérification des pays montre que les cibles potentielles sont l'Espagne, la Grèce, la Russie et le Chili.

En ce qui concerne le deuxième objectif du fichier dex chargé, qui est de télécharger et de charger un autre fichier .dex, la figure suivante montre l'extrait responsable de cette opération :

Le troisième fichier dex chargé contient le code réel qui tentera de faire payer l'utilisateur en s'abonnant à des services premium. La figure suivante montre une partie de ce code :

Le fonctionnement est le suivant : une fenêtre web invisible s'ouvre sur une page qui propose aux utilisateurs une sorte d'abonnement payant. Il saisit automatiquement le numéro de téléphone de l'appareil et attend que le code de confirmation arrive. Ce code, associé à l'autorisation de l'auditeur de notification demandée précédemment, permet au logiciel malveillant d'abonner l'utilisateur à ce service et ce dernier ne remarquera qu'une charge sur sa facture de téléphone !

La charge utile de la deuxième étape offre également des fonctionnalités supplémentaires : elle extrait des informations sur l'appareil et les envoie à un hôte différent, accède aux contacts et tente de lire/envoyer des SMS.

Comment vous protéger ?

Bien que Play Store s'efforce en permanence de lutter contre les logiciels malveillants, il est évident qu'il n'y parvient pas toujours. Pour être honnête, il est difficile de suivre l'évolution de logiciels malveillants tels que Joker ou Harly, qui trouvent de nouveaux moyens d'exploiter des utilisateurs insoupçonnés. Étant donné que des applications comme celles décrites ci-dessus sont téléchargées en masse chaque jour dans le Play Store, la règle d'or serait de ne télécharger que des applications qui ont plusieurs centaines de milliers de téléchargements et de nombreux commentaires positifs.