Parmi les nouvelles victimes figurent des banques allemandes, sud-coréennes, mais aussi des plateformes de cryptomonnaies. Pour parvenir à ses fins, Anatsa s’appuie sur des applications leurres distribuées directement sur le Play Store, qui se présentent comme de simples lecteurs de documents ou utilitaires anodins. Certaines de ces apps ont même franchi le cap des 50.000 téléchargements avant d’être repérées.
Nouvelles cibles pour Anatsa
La méthodologie employée par les chercheurs s’appuie sur l’analyse en continu des applications suspectes présentes dans la boutique officielle de Google. Elle leur permet de suivre les évolutions des campagnes malveillantes et d’identifier rapidement de nouvelles tendances. Au total, ThreatLabz a signalé à Google 77 applications infectées par différents malwares, totalisant plus de 19 millions d’installations.
Si Anatsa fait tant parler de lui, c’est parce qu’il multiplie les ruses pour échapper aux contrôles. L’une des principales nouveautés observées par les chercheurs est le passage d’un téléchargement dynamique de code malveillant à l’installation directe d’une véritable charge virale Anatsa. Celle-ci est chiffrée en temps réel grâce à une clé générée à la volée, ce qui rend l’analyse beaucoup plus difficile pour les outils de sécurité. Le logiciel malveillant va même jusqu’à vérifier le modèle de l’appareil sur lequel il est installé afin de détecter s’il s’agit d’un environnement d’émulation destiné à l’analyser !
Si la cible parait conforme, Anatsa télécharge sa charge utile depuis son serveur de commande. Dans le cas contraire, l’application affiche un banal gestionnaire de fichiers, ce qui lui permet de maintenir l’illusion d’un service licite. Pour brouiller encore davantage les pistes, le nom du paquet et l’empreinte d’installation sont régulièrement modifiés.
La version la plus récente intègre aussi un keylogger qui enregistre tout ce que tape l’utilisateur sur son clavier. Les identifiants bancaires sont siphonnés via de fausses pages de connexion qui imitent celles des banques ciblées. Ces pages, téléchargées à la demande depuis le serveur malveillant, évoluent en fonction des applications détectées sur le smartphone infecté.
La présence d’Anatsa sur le Play Store montre à quel point il est difficile d’éradiquer complètement ce type de malware. Malgré les contrôles de sécurité mis en place par Google, les cybercriminels parviennent régulièrement à contourner les barrières pour distribuer leurs logiciels malveillants. D’après ThreatLabz, on observe parallèlement une forte hausse des applications de type adware, tandis que d’autres familles comme Facestealer ou Coper semblent en recul.
Pour les utilisateurs, la vigilance reste donc de mise. Il est essentiel de vérifier les autorisations demandées par une application avant de l’installer, surtout lorsqu’elles concernent des fonctions sensibles comme l’accès aux SMS, aux notifications ou aux services d’accessibilité. Car une fois installé et doté des droits nécessaires, Anatsa est capable de verrouiller l’appareil, de lire et d’intercepter les messages, ou encore d’afficher des fenêtres malveillantes au-dessus des applications légitimes.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
