Android : le malware Joker menace de voler votre argent

Android : le malware Joker menace de voler votre argent

Dans un rapport publié ce 11 juin 2021, Quick Heal Security Labs, une firme dédiée à la sécurité informatique, met en garde les utilisateurs d’un smartphone ou d’une tablette Android : un malware bien connu rôde actuellement sur le Play Store, le Joker. “Il s’agit d’un Trojan espion qui vole les SMS des smartphones, la liste de contacts et des informations diverses” avance Quick Heal Security Labs sur son blog.

Ce n’est pas la première fois que nous évoquons le malware Joker dans nos colonnes. Depuis septembre 2019, le maliciel a souvent semé la pagaille sur le Play Store. Régulièrement banni par les équipes de Google, le malware revient de façon cyclique sur la boutique pour arnaquer les usagers. Son dernier retour sur le devant de la scène remonte à avril dernier.

Le malware Joker sur plus de 500 000 smartphones Huawei

Après avoir infecté des milliers de smartphones Android via le Google Play Store entre 2019 et 2020, le malware Joker vient de toucher plus de 500 000 utilisateurs sur l’AppGallery de Huawei. Voici comment le détecter.

Après le malware qui se cachait sous l’icône Netflix sur le Play Store, en voici un qui a touché 500 000 utilisateurs grâce à l’AppGallery, le store d’applications de Huawei.

 

Une application malveillante qui s’appelait « Joker »

Joker est une application-espionne, elle a été conçue pour voler vos SMS, vos listes de contacts et bien d’autres données de votre smartphone. Entre 2019 et octobre 2020, on a ainsi appris que plus d’une douzaine de ces applications avaient été découvertes sur le Google Play Store, ce qui signifie que ce malware avait réussi à passer le contrôle de sécurité de Google pendant plus d’un an. Plusieurs mois après, on vient de retrouver le malware Joker sur le Huawei AppGallery.

Dans un article de Doctor Web, on nous explique que des chercheurs en sécurité ont trouvé dix applications apparemment inoffensives dans l’AppGallery qui contenaient du code pour se connecter à un serveur distant afin de charger des données et des composants supplémentaires. La liste des applications malveillantes comprend des claviers virtuels, une application de caméra, un lanceur d’apps, une application de messageries instantanées, une application de peinture et un jeu.

Il se comporte comme un ransomware

Son mode opératoire est particulier. En effet, il agit comme un ransomware. Ainsi, une fois déployé, il ajoute l’extension de nom de fichier. crimson aux fichiers présents sur l’ordinateur mais sans les chiffrer réellement. Il s’agit de distraire la victime pour lui laisser croire qu’il n’a affaire qu’à un ransomware mais pas un trojan exécutable à distance.

Pour se propager, le programme malveillant peut compter sur la distribution de courriels présentant à la victime un paiement. Pour en connaître la somme, il est demandé de cliquer sur ce qui ressemble à une pièce jointe, prétendument au format PDF. Une fois que la victime ouvre le fichier, elle télécharge le malware et le pirate peut avoir accès à son ordinateur, notent nos confrères.

 

Toujours en cours

La campagne semble toujours en cours. Il est possible que les pirates puissent l’étendre grâce aux différentes données collectées leur permettant d’accéder aux messageries électroniques des victimes.

Le meilleur moyen de se protéger de STRRAT est de ne pas cliquer sur l’image qui fait office de pièce jointe. Mieux vaut se méfier de tout courriel dont le correspondant est inconnu, surtout si l’objet est un gain financier. L’installation d’un antivirus analysant le courriel peut aussi préserver des attaques.

 

La liste des applications Android infectées par le malware Joker

Depuis sa première apparition, le malware n’a jamais changé de mode opératoire. Une fois infiltré sur le téléphone, le Joker se rend sur une page web proposant un service payant. En récupérant les SMS de confirmation échangés entre le smartphone et le service, le logiciel malveillant abonne ses victimes à leur insu à des abonnements vendus au prix fort.

Le montant des abonnements est débité sur la carte bancaire des utilisateurs ou via leur facture d’opérateur. Pour éviter les mauvaises surprises, on vous conseille de désinstaller de toute urgence les 8 applications ci-dessous :

  • Auxiliary Message
  • Fast Magic SMS
  • Free CamScanner
  • Super Message
  • Element Scanner
  • Go Messages
  • Travel Wallpapers
  • Super SMS

 

Sans surprise, Quick Heal Security Labs a rapidement prévenu les équipes de Google de la présence du Joker sur le Play Store. Google a promptement supprimé les applications de sa boutique. Par mesure de sécurité, on vous conseille d’installer un bon antivirus sur votre smartphone Android afin de repérer la présence d’un malware.

 

Sébastien