Plus de deux millions d’utilisateurs d’Android ont téléchargé une série d’applications malveillantes qui ont contourné les protections de sécurité pour entrer dans la boutique d’applications Google Play, ont averti des chercheurs.
Après leur installation, les applications utilisent des techniques sournoises pour se cacher de l’utilisateur et éviter d’être supprimées, tout en diffusant des publicités malveillantes qui peuvent renvoyer directement vers des logiciels malveillants.
Au total, 35 applications « clairement malveillantes » de la boutique Google Play ont été découvertes et détaillées par les chercheurs en cybersécurité de Bitdefender, dont beaucoup ont incité les victimes à les télécharger.
Les retrouver et les supprimer sur le champ
Si les utilisateurs ont téléchargé l’une de ces applications, il leur est recommandé de la trouver et de la supprimer immédiatement.
Un porte-parole de Bitdefender a déclaré à ZDNet que la société avait contacté Google au sujet des applications malveillantes présentes sur le Play Store. ZDNet a contacté Google, mais n’a pas encore reçu de réponse au moment de la publication.
Il est courant que les applications chargées de malwares aient l’air suffisamment propres pour contourner les protections de l’App Store, car elles ne se connectent aux serveurs où elles reçoivent le téléchargement malveillant qu’après avoir été installées sur l’appareil de l’utilisateur.
Selon Bitdefender, de nombreuses applications peuvent encore être téléchargées à l’heure où nous écrivons ces lignes.
L’une des applications découvertes par les chercheurs s’appelle GPS Location Maps, et elle a été téléchargée par plus de 100 000 utilisateurs. D’après les chercheurs, après avoir été téléchargée, l’application change son nom de « GPS Location Maps » à « Settings » pour la rendre difficile à trouver et à supprimer, tandis qu’elle diffuse des publicités pop-up renvoyant à des sites web malveillants.
Cette application, comme beaucoup d’autres applications dangereuses identifiées par Bitdefender, obtient également l’autorisation de s’afficher au-dessus d’autres applications afin de forcer l’utilisateur à cliquer dessus. Certaines de ces applications simulent également les clics de l’utilisateur pour l’amener à cliquer sur des publicités, ce qui leur permet de réaliser des profits illicites à partir de visites forcées.
L’art de la dissimulation
Les auteurs de GPS Location Maps ont déployé des efforts considérables pour s’assurer que l’application malveillante soit difficile à désosser et à examiner, la charge utile Java principale étant cachée dans des fichiers chiffrés. Même lorsque les fichiers sont déchiffrés, le code reste obscurci.
L’application malveillante utilise également une autre technique pour rester cachée : elle n’apparaît pas dans la liste des applications les plus récemment utilisées sur les appareils Android.
Une fois téléchargée, chaque application malveillante adopte un comportement similaire : elle diffuse des publicités et déguise l’icône en quelque chose d’autre afin de la dissimuler. Parmi les applications malveillantes qui ont été téléchargées plus de 100 000 fois figurent des applications appelées Personality Charging Show, Image Warp Camera et Animated Sticker Finder.
Adopter un comportement plus méfiant
Chacune de ces applications malveillantes est répertoriée comme étant la seule publiée par un seul développeur, mais leurs adresses e-mail et leurs sites web sont tous très similaires, ce qui amène Bitdefender à penser que toutes les applications pourraient être l’œuvre d’un seul groupe ou individu. Parmi les autres applications qui ont été téléchargées plus de 100 000 fois figurent Personality Charging Show, Image Warp Camera et Animated Sticker Finder.
« Si les magasins officiels sont généralement très efficaces pour éliminer les applications malveillantes ou dangereuses, l’histoire montre qu’un petit nombre de mauvaises applications parviennent à passer et à faire des victimes jusqu’à ce qu’elles soient signalées. Ce n’est pas parce que nous téléchargeons une application depuis le magasin officiel qu’elle est forcément sûre », ont déclaré les chercheurs.
Les utilisateurs doivent toujours faire attention à ce qu’ils téléchargent, et se méfier particulièrement des applications de développeurs inconnus qui ont été téléchargées en grand nombre mais n’ont pas fait l’objet d’évaluations. Les utilisateurs doivent également examiner de près les applications qui demandent l’accès à des autorisations qui n’ont rien à voir avec la fonctionnalité annoncée.
« Ce n’est pas parce qu’une application est téléchargée depuis une boutique officielle qu’elle est sûre », ont averti les chercheurs.
Source : ZDNet.com
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));