- Nouvelle famille de chevaux de Troie Android.Phantom dissimulés dans des jeux et applications modifiés.
- Il fonctionne en mode fantôme pour cliquer sur les publicités et en mode signalisation pour échanger des données.
- Les téléphones portables peuvent être utilisés pour des attaques DDoS, des fraudes en ligne, du spam et le vol d'informations.
- Détecté dans des jeux du Xiaomi Store et dans une version modifiée de Spotify
Les Téléphones Android Ils sont une fois de plus dans le collimateur des cybercriminels suite à la détection d'un nouvelle famille de logiciels malveillants Ce cheval de Troie, surnommé Android.PhantomDe nombreux utilisateurs ne s'en aperçoivent pas car elle est intégrée à des applications qui, à première vue, semblent tout à fait légitimes.
Selon le laboratoire de sécurité Docteur WebCette menace exploite des techniques d'automatisation et même apprentissage automatique L'utilisateur interagit avec des publicités malveillantes et utilise l'appareil infecté à des fins illégales à son insu. Il met ainsi son téléphone portable et sa connexion internet au service d'un réseau de fraude et de cyberattaques.
Qu'est-ce qu'Android.Phantom et comment fonctionne ce cheval de Troie ?
Les analystes de sécurité ont identifié Android.Phantom comme un nouveau famille de Troyens Conçu spécifiquement pour l'écosystème Android. Contrairement à d'autres logiciels malveillants plus simples, ce code malveillant peut fonctionner sur deux modes de fonctionnement distinctsqui sont activées en fonction des ordres qu'elles reçoivent d'un serveur distant contrôlé par les attaquants.
Dans le soi-disant mode fantômeLe cheval de Troie charge du contenu web en arrière-plan et clique automatiquement sur des publicités frauduleuses. Il utilise pour cela des scripts d'automatisation et… framework d'apprentissage automatique TensorFlowJSCela vous permet de simuler le comportement d'un véritable utilisateur et de maximiser les profits issus de la fraude publicitaire.
Lorsqu'il passe au soi-disant mode de signalisationAndroid.Phantom devient un outil beaucoup plus polyvalent. Dans cet état, il peut échanger des données, de l'audio et de la vidéo en temps réel L'utilisation de l'infrastructure des attaquants, sans nécessiter l'installation d'aucun logiciel supplémentaire visible par l'utilisateur, ouvre la voie à diverses utilisations malveillantes, allant de la coordination d'attaques à l'intégration du téléphone comme nœud au sein de réseaux plus complexes.
Les deux modes sont contrôlés à partir d'un serveur de commande et de contrôle (C&C), auquel le cheval de Troie se connecte pour recevoir des instructions et envoyer des informations. Cette architecture, courante dans les campagnes de logiciels malveillants professionnelles, permet aux cybercriminels d'adapter les fonctionnalités du cheval de Troie selon leurs besoins.
Que peut faire un cheval de Troie à votre téléphone Android ?
Les chercheurs soulignent qu'Android.Phantom ne se limite pas à l'affichage de publicités ou à la génération de faux clics : l'étendue de ses fonctions le rend bien plus complexe. une menace sérieuse pour les utilisateurs d'AndroidUne fois qu'un téléphone ou une tablette a été compromis, l'appareil peut être utilisé pour diverses activités illégales à l'insu de son propriétaire.
Parmi les utilisations potentielles figure la participation du mobile à attaques par déni de service distribué (DDoS)Lors de ces attaques, plusieurs appareils bombardent un serveur ou un service en ligne jusqu'à sa mise hors service. L'utilisateur croit simplement jouer à un jeu ou écouter de la musique, mais sa connexion peut contribuer à la paralysie de sites web ou de services tiers.
Le cheval de Troie peut également être utilisé pour commettre une fraude en ligneCela inclut le gonflement artificiel des indicateurs publicitaires de certaines campagnes par le biais de faux clics, ou la manipulation des statistiques pour obtenir des revenus illégitimes. Ce type de fraude publicitaire nuit aux annonceurs, aux plateformes et, par conséquent, aux utilisateurs, qui voient leurs ressources utilisées sans autorisation.
Une autre caractéristique remarquable est la possibilité d'envoyer de gros volumes de courriers indésirables et de spams à partir d'appareils infectés, transformant les téléphones portables en petites usines à messages indésirables. De plus, selon les recherches, Android.Phantom est capable de accéder aux informations stockées et les extraire sur le terminal, avec le risque conséquent pour la confidentialité des données de l'utilisateur.
Cet ensemble de fonctionnalités place Android.Phantom dans la catégorie des chevaux de Troie polyvalents, capables de s'adapter à différents scénarios criminels en fonction des besoins des attaquants dans chaque campagne.
Il est tellement évident que le cheval de Troie est sur le téléphone
L'une des difficultés posées par ce type de logiciel malveillant est que… se dissimule dans des applications attrayantesL'utilisateur croit ainsi installer un simple jeu ou une application aux fonctionnalités supplémentaires. Pourtant, les experts ont identifié plusieurs signes permettant de déceler sa présence sur le téléphone.
L'indicateur le plus évident est un augmentation anormale de la consommation de la batterieComme le cheval de Troie maintient une activité constante en arrière-plan, établissant des connexions, chargeant du contenu et exécutant des scripts, l'appareil consomme plus d'énergie que d'habitude, même lorsqu'il n'est pas utilisé de manière intensive.
On constate également une nette augmentation de trafic de données mobilesCela est particulièrement vrai pour les utilisateurs qui ne consomment généralement pas beaucoup de contenu en streaming ou de jeux en ligne. Le logiciel malveillant nécessite une connexion active pour communiquer avec les serveurs distants et exécuter ses tâches, ce qui entraîne une consommation de données inexpliquée.
Dans certains cas, le téléphone peut afficher ralentissements, surchauffe ou de petits blocages Ces symptômes sont occasionnels, surtout sur les modèles d'entrée ou de milieu de gamme moins performants. Bien qu'ils puissent avoir d'autres causes, une vigilance accrue est recommandée s'ils surviennent après l'installation récente de jeux ou d'applications modifiés.
Ces signes ne constituent pas une preuve définitive d'infection, mais ils sont un indicateur. signal d'alarme ce qui devrait mener à Vérifiez quelles applications ont été installées récemment. et, en cas de doute, de procéder à une analyse complète à l'aide d'une solution de sécurité fiable.
Dans quels jeux et applications Android Phantom se cache-t-il ?
Les recherches de Doctor Web indiquent que ce cheval de Troie a été distribué principalement via Jeux disponibles sur la boutique d'applications XiaomiPlus précisément, sa présence a été détectée dans des titres publiés par le développeur Shenzhen Ruiren Network, un nom qui, jusqu'à présent, était passé inaperçu auprès de la plupart des utilisateurs.
Le schéma détecté par les spécialistes est particulièrement inquiétant : ils commencent par entrer dans le magasin. versions légitimes des jeuxqui passent les premiers contrôles de sécurité et commencent à accumuler des téléchargements et des avis positifs. Une fois qu'elles ont atteint un certain niveau de popularité, vient une mise à jour ultérieure qui introduit le code malveillant dans l'application déjà installée sur les téléphones mobiles.
Cette méthode de distribution incite de nombreux utilisateurs à faire confiance au jeu, car ils l'ont installé depuis une source apparemment fiable et l'ont utilisé sans problème pendant un certain temps. Avec la mise à jour, ce même jeu, auparavant inoffensif, devient le vecteur d'un cheval de Troie sans que l'utilisateur ne remarque aucun changement notable dans le gameplay.
Outre sa présence dans les jeux, Android.Phantom a également été découvert dans un version modifiée de Spotify Ces applications modifiées, qui circulent en dehors des plateformes de téléchargement officielles, promettent des fonctionnalités avancées ou un accès premium sans paiement. Elles attirent souvent ceux qui recherchent des « avantages » immédiats sans abonnement.
Pourquoi cela affecte-t-il particulièrement les utilisateurs en Europe et en Espagne ?
Bien que l'enquête ne se limite pas à une région spécifique, le fait que le cheval de Troie soit distribué par jeux et applications populaires dans les magasins des fabricants asiatiques Et via les chaînes Telegram, l'impact se fait également sentir en Europe, notamment en Espagne, où de plus en plus d'utilisateurs importent des téléphones portables ou utilisent des plateformes de stockage alternatives.
Dans les pays européens, il est courant de trouver Offres sur les téléphones portables de marques comme XiaomiCes plateformes intègrent leurs propres boutiques d'applications en plus de Google Play. De nombreux utilisateurs téléchargent des jeux directement depuis ces plateformes sans vérifier le développeur ni l'historique de l'application, ce qui accroît le risque si une mise à jour introduit un code malveillant.
De même, l’utilisation de Chaînes Telegram pour le partage d'APK modifiés Cette pratique est courante parmi les communautés d'utilisateurs recherchant des fonctionnalités supplémentaires ou des applications sans publicité. L'Espagne ne fait pas exception, et ce type de pratique ouvre la porte à des menaces comme Android.Phantom, qui peuvent ainsi s'infiltrer discrètement dans les appareils.
Dans un environnement où le téléphone portable est utilisé pour services bancaires en ligne, communications personnelles et télétravailL'impact potentiel d'un cheval de Troie de ce type est particulièrement grave. Un seul appareil compromis peut exposer des données sensibles, des identifiants ou des informations d'entreprise, en plus de la fraude publicitaire elle-même.
Par conséquent, les experts en cybersécurité insistent sur le fait que prévention et habitudes de téléchargement sécurisées Elles sont fondamentales pour minimiser les risques, notamment sur des marchés comme l'Europe, où la pénétration d'Android est très élevée et où la diversité des fabricants et des magasins complique les contrôles.
Comment protéger votre appareil Android contre les jeux et les fichiers APK infectés
Doctor Web et d'autres acteurs du secteur de la sécurité recommandent avant tout, Évitez de télécharger des fichiers APK modifiés. Vous pouvez vous procurer ces services sur des sites web inconnus ou des chaînes Telegram à la réputation douteuse. Bien que la tentation d'obtenir des fonctionnalités premium gratuites soit forte, le coût pour votre sécurité peut être bien plus élevé.
Il est également conseillé d'installer les applications, dans la mesure du possible, depuis magasins officiels et réputésVérifiez le nom du développeur, les avis et le nombre de téléchargements. Si une application change de comportement après une mise à jour, consomme davantage de ressources ou affiche des publicités étranges, il est conseillé de vérifier les applications récemment installées.
Une autre mesure clé consiste à avoir un logiciel antivirus mis à jour Sur les appareils Android, les solutions de sécurité modernes sont capables de détecter bon nombre de ces menaces, même lorsqu'elles se dissimulent dans des applications apparemment légitimes, et peuvent bloquer leur exécution ou supprimer le logiciel malveillant.
De plus, il est conseillé de désactiver cette option, sauf dans des cas spécifiques. installer des applications provenant de sources inconnues dans les paramètres de l'appareil. Limiter cette fonction réduit le risque qu'un fichier APK malveillant s'installe involontairement, notamment sur les téléphones utilisés par des mineurs ou des personnes ayant peu de connaissances techniques.
Enfin, il est conseillé de revoir périodiquement le liste des applications installées Supprimez les applications que vous n'utilisez pas ou dont vous ne vous souvenez pas avoir téléchargées. Maintenir votre appareil propre, à jour et contrôler les applications installées est l'une des meilleures protections contre les chevaux de Troie comme Android.Phantom.
L'apparition de ce cheval de Troie qui Il est caché dans des jeux et des applications modifiés. Cela confirme que les cybercriminels continuent de perfectionner leurs techniques pour exploiter l'écosystème Android et l'intérêt pour les applications gratuites ou celles dotées de fonctionnalités supplémentaires. Il est devenu quasiment indispensable de rester vigilant face à toute utilisation inhabituelle, de télécharger uniquement depuis des sources fiables et d'utiliser des outils de sécurité à jour pour minimiser son exposition à ce type de menaces.