Une application malveillante de logiciel espion Android, baptisée « BMI CalculationVsn », a été découverte sur l’Amazon Appstore, se faisant passer pour un outil de santé tout en volant furtivement les données des utilisateurs. Cette demande a été identifié par les chercheurs de McAfee Labs, qui ont rapidement informé Amazon, ce qui a entraîné son retrait du magasin. Cependant, les utilisateurs qui ont précédemment installé l’application doivent la supprimer manuellement et effectuer une analyse complète pour garantir l’éradication complète du logiciel espion.
Application de logiciel espion malveillant découverte sur Amazon Appstore
L’application BMI CalculationVsn, publiée par « PT Visionet Data Internasional », tente de se présenter comme un simple calculateur d’indice de masse corporelle (IMC). Les utilisateurs rencontrent une interface apparemment simple qui leur permet de saisir leur poids et leur taille pour calculer leur IMC ; cependant, des fonctions malveillantes supplémentaires sont exécutées en arrière-plan.
Lors de l’activation de l’application, elle lance un service d’enregistrement d’écran, demandant l’autorisation lorsque l’utilisateur clique sur le bouton « Calculer ». Cette tactique peut inciter les utilisateurs à accorder des approbations réflexes. Bien que l’enquête de McAfee ait révélé que la vidéo enregistrée est stockée localement sous forme de fichier MP4, elle n’a pas été téléchargée sur le serveur de commande et de contrôle (C2). Cet évitement est probablement dû au fait que l’application est encore en phase de développement.
Un examen plus approfondi de l’historique de l’application a révélé sa première apparition le 8 octobre, avec des modifications de son icône, l’ajout d’autres fonctionnalités malveillantes et des mises à jour des informations de son certificat d’ici la fin du mois.
Fonctionnalités et mesures contre le vol de données
L’application Mickey CalculationVsn se livre à diverses activités nuisibles conçues pour compromettre la sécurité des utilisateurs. En plus d’enregistrer l’écran, il analyse l’appareil à la recherche d’autres applications installées, ce qui peut permettre aux attaquants d’élaborer une stratégie pour leurs prochaines étapes en fonction des informations récupérées. Cette capacité leur permet d’identifier plus efficacement les utilisateurs cibles.
De plus, le logiciel espion intercepte et collecte les messages SMS stockés sur l’appareil, capturant potentiellement des mots de passe à usage unique (OTP) et des codes de vérification. Les données SMS interceptées sont ensuite téléchargées dans un compartiment de stockage Firebase, indiquant clairement un effort coordonné pour extraire des informations sensibles sur les utilisateurs.
Le botnet BADBOX infecte plus de 192 000 appareils Android dans le monde
L’application reste un travail en cours, car les recherches sur ses échantillons précédents suggèrent qu’elle est encore en phase de test. L’inspection du code a révélé que la version initiale était lancée en tant qu’application d’enregistrement d’écran, qui a ensuite été transformée en fonctionnalité lorsque l’icône a été remplacée par celle d’un calculateur d’IMC.
Le développeur de BMI CalculationVsn opère sous le nom de « PT Visionet Data Internasional », ce qui semble abuser de la réputation d’un fournisseur légitime de services de gestion informatique d’entreprise en Indonésie. Cela suggère que le créateur du logiciel malveillant a une formation technique et peut posséder une compréhension des principes de développement de logiciels.
À la lumière de cette découverte, il est conseillé aux utilisateurs de rester vigilants lors du téléchargement d’applications depuis l’Amazon Appstore, qui, étant une alternative à Google Play, peut héberger des applications contournant les mesures de sécurité traditionnelles. Les précautions à prendre en compte incluent l’installation d’un logiciel antivirus fiable, l’examen minutieux des autorisations d’application demandées et la vigilance en cas de comportement inhabituel de l’appareil pouvant indiquer une activité malveillante.
Malgré la suppression de l’application de l’Appstore, les risques pour les utilisateurs qui l’ont installée demeurent.
Crédit image en vedette : Kerem Gülen/Milieu du voyage
