Selon les rapports publiés par ThreatFabric, les applications Android sur Google Play Store qui ont volé des coordonnées bancaires ont enregistré plus de 300 000 téléchargements par des utilisateurs peu méfiants. Ces applications apparemment inoffensives se sont fait passer pour des scanners QR, des portefeuilles de crypto-monnaie et des scanners PDF, et ont volé par malveillance des données financières sensibles. Les détails des utilisateurs tels que les mots de passe, les codes d’authentification à deux facteurs, les frappes enregistrées par les utilisateurs et bien plus encore ont été volés par ces applications qui relèvent principalement de quatre familles de logiciels malveillants, à savoir Anatsa, Alien, Hydra et Ermac. Google a tenté de lutter contre ce problème en introduisant un certain nombre de restrictions visant à freiner la distribution de ces applications. Ceci, à son tour, a incité le développement de méthodes ingénieuses pour contourner les restrictions de sécurité du Google Play Store par les esprits derrière ces malwares.
Comme expliqué par ThreatFabric, le contenu des malwares n’est pas introduit directement via Google Play Store, donc éviter la détection. Les utilisateurs sont incités à télécharger des mises à jour supplémentaires à partir de sources tierces par ces applications. Les cybercriminels sont allés jusqu’à déclencher manuellement le téléchargement de ces mises à jour après avoir localisé l’emplacement des appareils avec ces applications téléchargées.
Certaines des applications malveillantes identifiées par les experts en cybersécurité incluent QR Scanner, QR Scanner 2021, Two Factor Authenticator, Protection Guard, QR CreatorScanner, Master Scanner Live, CryptoTracker, PDF Document Scanner, PDF Document Scanner Free et Gym and Fitness Trainer.
Parmi les quatre principales familles de malwares, avec plus de 100 000 téléchargements, Antasa est en tête de liste. Le grand nombre de téléchargements et de bonnes critiques, ainsi que la fonctionnalité décente des applications elles-mêmes, leur ont donné une apparence de légitimité. Cependant, après avoir été téléchargées à partir du Google Play Store, ces applications ont incité les utilisateurs à télécharger davantage de contenu tiers supplémentaire afin d’être utilisés. Il s’est avéré qu’il s’agissait d’un logiciel malveillant qui, une fois installé, était capable de voler des informations financières sensibles et de capturer toutes les activités sur l’écran de l’appareil.
Dans un article de blog de Google, la société a détaillé les mesures qu’elle a prises pour contrer ces des applications malveillantes, notamment en limitant le nombre d’accès dont disposent les développeurs aux informations sensibles. Cependant, Google Play Protect n’offre pas un niveau de sécurité suffisamment compétent, en particulier par rapport aux principaux programmes anti-malware du marché, selon un test réalisé en juillet par l’institut allemand de sécurité informatique AV-Test. Environ 20 000 applications malveillantes ont été testées, et il n’a pu en détecter qu’environ les deux tiers.
