En dépit des efforts de Google, on continue de trouver des logiciels malveillants sur le Play Store. Une étude de Kaspersky lève le voile sur la manière dont les hackers cachent des malwares dans des applications Android…
Malgré les mesures de sécurité prises par Google, le Play Store est régulièrement envahi par des logiciels malveillants. Ces derniers mois, la boutique d’applications a notamment été la cible de Joker, un malware qui revient à la charge depuis 2019, et d’Hook, un virus capable de prendre contrôle complet d’un téléphone à distance. Pour les autorités thaïlandaises, on assiste même à une véritable épidémie de virus sur le Play Store au cours des premiers mois de l’année.
Le mode opératoire des hackers
D’après les chercheurs de Kaspersky, certains cybercriminels se sont spécialisés dans l’infiltration de malwares sur le Google Play Store. Sur le dark web, on trouve de nombreuses publicités vantant leurs services. Par le biais de forums, de marchés noirs ou encore de canaux Telegram privés, ils proposent à d’autres pirates de glisser leur virus sur la plate-forme à leur place.
Concrètement, les hackers mettent en vente des loaders. Il s’agit d’applications Android en apparence inoffensives et anodines, comme des jeux, des antivirus ou des scanners de QR Code. Ces apps cachent un maliciel furtif capable d’installer à distance un autre logiciel malveillant. Très légers et discrets, ils sont programmés pour échapper à la détection des antivirus. Comme l’explique Kaspersky, le mode opératoire consiste à « télécharger une application bénigne, puis la mettre à jour avec un code malveillant ou douteux infectant à la fois les nouveaux utilisateurs et ceux qui ont déjà installé l’application ».
Ces apps n’ont pas de véritable utilité. Elles sont uniquement conçues pour infiltrer un malware sur le Play Store. Une fois que l’application a été installée sur un smartphone ou tablette, elle va automatiquement charger le virus à partir d’un serveur à distance. Le logiciel va alors demander à l’utilisateur l’accès à des fonctionnalités, comme la caméra ou le microphone, parfois sans raison valable. Le maliciel est aussi libre de s’attaquer aux données des utilisateurs, comme des mots de passe, des photos ou des coordonnées bancaires.
Les cybercriminels proposent également de cacher le loader, qui est chargé d’installer le virus après l’installation sur l’appareil visé, dans une application choisie par leurs clients. Les escrocs se chargent de tout, de l’intégration du loader jusqu’à la publication de l’app sur le Play Store, au nez et à la barbe de Google.
À lire aussi : 80 % des apps Android sur le Play Store vous mentent sur les données personnelles
Des garanties et un prix élevé
Les criminels offrent une garantie d’une semaine à leur clientèle. En clair, ils garantissent que leur application ne serait pas détectée par Google avant une période de sept jours. Si c’est le cas, ils s’engagent à fournir gratuitement une seconde application malveillante pour contourner les sécurités du Play Store. En parallèle, certains développeurs d’apps malveillantes promettent au moins 5 000 installations, note Kaspersky.
En plus de ces garanties, les développeurs cherchent à tirer leur épingle du jeu grâce à une interface simple et intuitive, des outils permettant de cibler une catégorie de victimes en particulier et la possibilité de promouvoir les apps frauduleuses sur Google Ads. Certains vendeurs enrichissent aussi leurs offres avec des fonctionnalités avancées. Par exemple, certains loaders sont capables de déterminer quand un système de sécurité a repéré leur présence. Le virus est alors en mesure de suspendre ses activités.
Ces services sont facturés au prix fort. D’après l’enquête menée par Kaspersky, un loader destiné au Play Store est vendu à un prix moyen de 7 000 dollars. Certains vendeurs proposent aussi leurs maliciels aux enchères, à un prix de départ de 1 500 dollars. Le prix d’un maliciel peut alors atteindre la somme de 20 000 dollars. Certains vendeurs préfèrent réclamer « un pourcentage du bénéfice final » ou proposer leurs services par le biais d’abonnements.
L’impuissance de Google
Conscient des astuces déployées par les pirates, Google affirme avoir « mis en place des politiques pour assurer la sécurité des utilisateurs auxquelles toutes les applications doivent se conformer ». Contacté par Bleeping Computer, le géant de Mountain View précise prendre « les mesures appropriées » contre les applications qui enfreignent les règles de la boutique. Manifestement, les mesures déployées par Google ne sont pas suffisantes pour dissuader les hackers…
Comme le souligne Kaspersky, « les applications malveillantes sont supprimées de Google Play dès qu’elles sont trouvées, mais parfois après avoir été téléchargées un certain nombre de fois ». Pour protéger vos données des virus, on vous recommande donc d’installer un antivirus sur votre smartphone.
Source :
Kaspersky