L’année 2024 a été marquée par le retour d’une menace malveillante redoutée sur Android : le cheval de Troie Necro. Initialement découvert en 2019, ce malware fait son retour sous une forme plus sophistiquée, mettant en danger des millions d’utilisateurs à travers des applications infectées sur Google Play et des versions modifiées d’applications populaires sur des plateformes non officielles. Cet article examine l’évolution de Necro, ses méthodes d’attaque et les recommandations pour s’en protéger.
Un malware plus sophistiqué
La nouvelle version de Necro Trojan utilise des techniques de plus en plus avancées pour rester indétectée par les systèmes de sécurité. En août 2024, des chercheurs de Kaspersky ont révélé que le malware avait réussi à infecter plusieurs applications populaires sur Google Play, totalisant plus de 11 millions de téléchargements avant leur retrait. Des applications telles que Wuta Camera et Max Browser ont servi de vecteurs pour cette attaque. Parallèlement, des versions modifiées d’applications comme WhatsApp, Spotify et Minecraft ont été compromises sur des plateformes tierces non officielles.
Techniques de dissimulation et d’infection
Necro se distingue par ses méthodes de dissimulation :
- Stéganographie : Le malware cache sa charge utile dans des images, ce qui complique sa détection par les antivirus.
- Obfuscation : Les fichiers malveillants sont camouflés et complexifiés, rendant leur analyse difficile pour les systèmes de sécurité.
- Adware invisible : Une fois activé, Necro est capable d’afficher des publicités dans des fenêtres invisibles, générer des clics automatiques, télécharger et exécuter d’autres fichiers malveillants, et même ouvrir des liens dans des fenêtres WebView cachées.
Ces techniques permettent à Necro de rester actif et indétecté pendant longtemps, exploitant les appareils infectés comme des proxies et abonnant les victimes à des services payants sans leur consentement.
Vecteurs d’attaque
Necro cible principalement les utilisateurs qui cherchent à accéder à des fonctionnalités supplémentaires ou à des versions gratuites d’applications populaires. Les versions modifiées, souvent distribuées sur des sites non officiels, contiennent fréquemment des modules publicitaires vulnérables, servant de porte d’entrée pour le malware.
Impact global
Entre août et septembre 2024, Necro a infecté des utilisateurs dans plusieurs pays, notamment la Russie, le Brésil, le Vietnam, l’Équateur et le Mexique. Bien que Google ait rapidement supprimé les applications infectées de son store, les utilisateurs continuent d’être exposés via les plateformes non officielles, où des versions compromises d’applications circulent toujours.
Recommandations pour se protéger
Face à la résurgence de Necro, il est essentiel pour les utilisateurs d’Android de prendre certaines précautions :
- Télécharger uniquement depuis des sources officielles comme Google Play pour limiter les risques d’infection.
- Éviter les versions modifiées d’applications disponibles sur des sites non vérifiés.
- Installer des solutions de sécurité fiables, capables de détecter ces malwares avancés et de protéger les appareils des utilisateurs.
Conclusion
Le retour de Necro montre que même les plateformes officielles comme Google Play ne sont pas totalement sûres. La vigilance reste de mise pour éviter l’infection par ce type de malware sophistiqué. En suivant les bonnes pratiques de cybersécurité, les utilisateurs peuvent mieux se protéger contre les menaces croissantes qui pèsent sur l’écosystème Android.