Fraude aux SMS : le Joker sévit sur Google Play Store

Trois applications trojanisées disponibles sur le Google Play Store renferment le malware Joker. Celui-ci abonne à leur insu les utilisateurs aux services des applications.

Malgré les efforts de Google pour améliorer la sécurité de son App Store, il ne se passe pas une semaine sans que de nouvelles menaces y soient détectées et supprimées. Fin de semaine dernière, Kaspersky a publié un rapport détaillant une variante du malware Joker qui s’est frayée un chemin jusqu’au Google Play Store. 

Code de vérification intercepté

Les chercheurs en sécurité ont identifié trois applications hébergeant le fameux malware : Style Message, Blood Pressure App et Camera PDF Scanner. Une fois l’une des applications infectées installée sur l’appareil, elle demandait l'accès aux SMS « si sa fonctionnalité légitime l'exige, par exemple si elle se présente comme une application de messagerie ». Comme c’est le cas pour Style Message.

Dans d’autres cas, le malware demande l’accès aux notifications. Pourquoi ? Car les notifications contextuelles sur les messages reçus contiennent le corps du texte. Le logiciel malveillant est alors en mesure d’intercepter les codes de confirmation afin de poursuivre une procédure d’abonnement à l’insu des utilisateurs et de leur voler de petites sommes d’argent. 

Invisible

Malin, le Joker parvient à se rendre invisible. Pour rester indétectable, le logiciel va se télécharger en quatre étapes avant de lancer sa charge utile qui restera inactive tant que l'application en est au stade de la vérification. Le "SDK" principal contient également un code permettant de contourner les systèmes anti-fraude.

 « La charge utile principale suit essentiellement un schéma standard : elle reçoit une URL de la page d'abonnement du serveur C&C et l'ouvre dans une fenêtre invisible. Une fois la page chargée, le cheval de Troie lui injecte des scripts qui demandent un abonnement et le confirment à l'aide d'un code intercepté du SMS. », détaille le rapport. 

De janvier 2021 à mars 2022, les utilisateurs infectés ont été principalement identifiés en Arabie saoudite (21,20%), en Pologne (8,98 %) et en l'Allemagne (6,01 %). Si les trois applications ont été supprimées du Play Store, elles sont toujours disponibles sur les magasins d’applications alternatifs.