{"id":22245,"date":"2024-09-27T11:18:33","date_gmt":"2024-09-27T09:18:33","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=22245"},"modified":"2025-04-28T15:55:17","modified_gmt":"2025-04-28T13:55:17","slug":"necro-infects-android-users","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/necro-infects-android-users\/22245\/","title":{"rendered":"Comment le cheval de Troie Necro a attaqu\u00e9 11 millions d’utilisateurs d’Android"},"content":{"rendered":"

Chez Kaspersky Daily, nous invitons<\/a> toujours les lecteurs de notre blog \u00e0 \u00eatre tr\u00e8s prudents lorsqu\u2019ils t\u00e9l\u00e9chargent du contenu sur leurs appareils. Apr\u00e8s tout, m\u00eame Google Play n\u2019est pas \u00e0 l\u2019abri des programmes malveillants<\/a>, sans parler des sources non officielles proposant des mods et des applications pirat\u00e9es. Tant que le monde num\u00e9rique fonctionnera, les chevaux de Troie continueront \u00e0 se frayer un chemin sur les appareils qui ne disposent pas d\u2019une protection fiable<\/a>.<\/p>\n

Aujourd\u2019hui, nous d\u00e9couvrons comment 11\u00a0millions d\u2019utilisateurs d\u2019Android dans le monde ont pu tomber dans le pi\u00e8ge du cheval de Troie Necro. Lisez la suite pour en savoir plus sur les applications concern\u00e9es et sur les mesures \u00e0 prendre pour vous prot\u00e9ger.<\/p>\n

Qu\u2019est-ce que Necro\u00a0?<\/h2>\n

Nos lecteurs habitu\u00e9s se souviendront peut-\u00eatre d\u2019avoir lu un article sur Necro lorsque nous l\u2019avons pr\u00e9sent\u00e9<\/a> pour la premi\u00e8re fois en 2019. \u00c0 l\u2019\u00e9poque, nos experts avaient d\u00e9couvert un cheval de Troie dans CamScanner, une application de reconnaissance de texte, qui avait comptabilis\u00e9 plus de 100\u00a0millions de t\u00e9l\u00e9chargements sur Google Play. Aujourd\u2019hui, les \u00a0\u00bb\u00a0n\u00e9cromanciens\u00a0\u00a0\u00bb ont inject\u00e9 du sang neuf dans l\u2019ancien cheval de Troie\u00a0: nous avons trouv\u00e9 une version aux fonctionnalit\u00e9s \u00e9largies \u00e0 la fois dans des applications populaires sur Google Play et dans divers mods d\u2019applications sur des sites non officiels. Il est fort probable que les d\u00e9veloppeurs de ces applications aient utilis\u00e9 un outil d\u2019int\u00e9gration publicitaire non v\u00e9rifi\u00e9 par le biais duquel Necro s\u2019est infiltr\u00e9 dans le code.<\/p>\n

Aujourd\u2019hui, Necro est un chargeur<\/a> brouill\u00e9<\/a> de mani\u00e8re \u00e0 ne pas \u00eatre d\u00e9tect\u00e9 (ce qui ne nous a pas emp\u00each\u00e9s de le trouver). Il t\u00e9l\u00e9charge la charge utile malveillante de mani\u00e8re non moins astucieuse en utilisant la st\u00e9ganographie<\/a> pour dissimuler son code dans une image \u00e0 premi\u00e8re vue inoffensive.<\/p>\n

De plus, les modules malveillants t\u00e9l\u00e9charg\u00e9s sont capables de charger et d\u2019ex\u00e9cuter n\u2019importe quel fichier DEX<\/a> (code compil\u00e9 \u00e9crit pour Android), d\u2019installer des applications t\u00e9l\u00e9charg\u00e9es, de p\u00e9n\u00e9trer dans l\u2019appareil de la victime et m\u00eame, potentiellement, de souscrire des abonnements payants. En outre, ils peuvent afficher et interagir avec des annonces dans des fen\u00eatres invisibles, ainsi qu\u2019ouvrir des liens arbitraires et ex\u00e9cuter n\u2019importe quel code JavaScript.<\/p>\n

Pour en savoir plus sur la conception et le fonctionnement de Necro, consultez notre blog Securelist<\/a>.<\/p>\n

O\u00f9 le programme Necro se cache-t-il\u00a0?<\/h2>\n

Nous avons trouv\u00e9 des traces du programme malveillant dans une version modifi\u00e9e de Spotify, dans l\u2019application de retouche photo Wuta Camera, dans Max Browser ainsi que dans des mods pour WhatsApp et des jeux populaires (dont Minecraft).<\/p>\n

Dans une version modifi\u00e9e de Spotify<\/h3>\n

Au tout d\u00e9but de notre enqu\u00eate, nous avons \u00e9t\u00e9 interpell\u00e9s par une modification inhabituelle de l\u2019application Spotify Plus. Les utilisateurs \u00e9taient invit\u00e9s \u00e0 t\u00e9l\u00e9charger une nouvelle version de leur application favorite \u00e0 partir d\u2019une source non officielle, et ce, gratuitement et avec un abonnement d\u00e9bloqu\u00e9 offrant un acc\u00e8s illimit\u00e9 aux services audio, en ligne et hors ligne. Le joli bouton vert T\u00e9l\u00e9charger Spotify MOD APK<\/em> semble vraiment tentant, n\u2019est-ce pas\u00a0? Stop\u00a0! C\u2019est un programme malveillant. Peu importe les garanties S\u00e9curit\u00e9 v\u00e9rifi\u00e9e<\/em> et Certification officielle<\/em>, cette application fait des ravages.<\/p>\n

\"Non<\/a>

Non merci, je ne t\u00e9l\u00e9chargerai pas ce mod, mais je vois qu\u2019il y a d\u2019autres versions disponibles. Inclueraient-elles \u00e9galement Necro ou d\u2019autres chevaux de Troie\u00a0?<\/p><\/div>\n

Lorsque cette application a \u00e9t\u00e9 lanc\u00e9e, le cheval de Troie envoyait des informations sur l\u2019appareil infect\u00e9 au serveur C2 des pirates informatiques et obtenait en r\u00e9ponse un lien permettant de t\u00e9l\u00e9charger une image PNG. La charge utile malveillante \u00e9tait masqu\u00e9e<\/a> dans cette image au moyen de la st\u00e9ganographie.<\/p>\n

Dans les applications sur Google Play<\/h3>\n

Alors que la version modifi\u00e9e de Spotify a \u00e9t\u00e9 distribu\u00e9e par des canaux non officiels, l\u2019application Wuta Camera infect\u00e9e par Necro s\u2019est retrouv\u00e9e sur Google Play, o\u00f9 l\u2019application a \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9e plus de 10\u00a0millions de fois. Selon nos donn\u00e9es, le chargeur Necro a p\u00e9n\u00e9tr\u00e9 la version\u00a06.3.2.148 de Wuta Camera, alors que les versions non contamin\u00e9es commencent seulement \u00e0 partir de la version\u00a06.3.7.138. Par cons\u00e9quent, si votre version est ant\u00e9rieure \u00e0 celle-ci, vous devez imm\u00e9diatement mettre \u00e0 jour l\u2019application.<\/p>\n

\"Le<\/a>

Le nombre impressionnant de t\u00e9l\u00e9chargements et les bonnes \u00e9valuations ont permis de masquer un cheval de Troie.<\/p><\/div>\n

Les utilisateurs de Max Browser sont beaucoup moins nombreux, puisqu\u2019ils ne sont qu\u2019un million. Necro a infiltr\u00e9 le code de l\u2019application dans la version 1.2.0. L\u2019application a \u00e9t\u00e9 retir\u00e9e de Google Play \u00e0 la suite de notre avertissement, mais elle est toujours disponible sur des ressources tierces. Bien entendu, ces ressources sont encore moins fiables, car des versions du navigateur contenant des chevaux de Troie peuvent encore s\u2019y trouver.<\/p>\n

Dans les mods pour WhatsApp, Minecraft et d\u2019autres applications populaires<\/h3>\n

Les clients de messagerie alternatifs offrent g\u00e9n\u00e9ralement plus de fonctionnalit\u00e9s que leurs cousins officiels. Toutefois, vous devez vous m\u00e9fier<\/a> de tous les mods, qu\u2019ils figurent sur Google Play ou sur des sites tiers, car ils sont souvent accompagn\u00e9s de chevaux de Troie<\/a>.<\/p>\n

Par exemple, nous avons trouv\u00e9 des mods pour WhatsApp contenant le chargeur Necro et distribu\u00e9s par des sources non officielles, ainsi que des mods pour Minecraft, Stumble Guys, Car Parking Multiplayer et Melon Sandbox. Et cette liste n\u2019est certainement pas le fruit du hasard\u00a0: les pirates informatiques ciblent toujours les jeux et applications les plus populaires<\/a>.<\/p>\n

Comment se pr\u00e9munir contre Necro\u00a0?<\/h2>\n

Tout d\u2019abord, il est fortement d\u00e9conseill\u00e9 de t\u00e9l\u00e9charger des applications \u00e0 partir de sources non officielles<\/a>, car le risque d\u2019infection de l\u2019appareil est extr\u00eamement \u00e9lev\u00e9. Ensuite, il convient \u00e9galement de faire preuve de prudence \u00e0 l\u2019\u00e9gard des applications disponibles sur Google Play et sur d\u2019autres plateformes officielles. M\u00eame une application populaire comme Wuta Camera, qui compte 10\u00a0millions de t\u00e9l\u00e9chargements, s\u2019est r\u00e9v\u00e9l\u00e9e impuissante face \u00e0 Necro.<\/p>\n