Le Play Store aux prises avec un problème de malware

. © .
Els Bellens

La semaine dernière, des firmes de sécurité ont trouvé une véritable invasion de maliciels Android dans le Play Store. Il s’agit en l’occurrence de quatre campagnes distinctes, chacune plus complexe que l’autre.

Avec plus d’un milliard d’utilisateurs, Android est aujourd’hui le système d’exploitation le plus utilisé au monde, ce qui ne va pas sans conséquences. Selon Nokia, qui vient de sortir son Threat Intelligence Report 2017, Android est devenu la principale cible du malware. Le rapport prétend que 68 pour cent de toutes les infections au malware se sont manifestées sur cette plate-forme. Pour Nokia, cela est majoritairement dû au fait que des applications peuvent être chargées en dehors du Play Store, en provenance par exemple d’autres sites web, sous forme de fichiers APK ou transférées d’un ordinateur. La plupart des maliciels aboutissent dans le Play Store par le biais d’applications dissimulant un petit paquet de malware supplémentaire.

Et comme pour donner encore plus de crédit à ce rapport, quatre firmes de sécurité viennent précisément de publier des communiqués relatifs à quatre familles de malware différentes, qui se présentaient toutes comme des applis Android et qui pouvaient sans problème être téléchargées du Google Play Store et ce, jusqu’à ce que quelqu’un signale que ce n’était peut-être pas une bonne idée.

Du malware à trois niveaux

Les plus évidentes étaient probablement les huit applis découvertes par la firme de sécurité ESET. Ces applis ressemblaient à des applis d’actualité ou à des programmes de nettoyage de votre système, mais elles contenaient en fait ‘Trojan Dropper’, un type de maliciel qui permet aux agresseurs d’installer un logiciel mal intentionné, genre spyware (espionniciel) sur la machine. Les applis en question ont été entre-temps retirées du Google Play Store.

Ce qui est étonnant, c’est que ces applis s’interféraient dans le plus grand secret. Après le téléchargement initial, ce genre d’appli ne demandait pas toutes sortes d’autorisations que les utilisateurs associent généralement à du malware, mais se comportait de la même façon qu’une appli légitime. En arrière-plan, l’appli déballait cependant un ‘payload’ mal intentionné de premier niveau qui, à son tour, installait un ‘payload’ de deuxième niveau. Ce dernier contenait une URL avec laquelle le maliciel pouvait télécharger un troisième ‘payload’ intégrant de nouveau une appli mal intentionnée. Un procédé complexe donc, et au bout de quelques minutes, l’utilisateur se voyait inviter à télécharger le troisième programme, une demande qui était camouflée en mise à jour d’une appli légitime ou du système Android même. Cette ‘update’ demandait directement toutes sortes d’autorisations, comme la lecture de contacts, messages, accès et gestion jusqu’au stockage. Le troisième programme ‘payload’ était donc le malware proprement dit, qui possédait directement toutes les procurations nécessaires pour permettre aux agresseurs de faire ce que bon leur semblait. L’appli tentait notamment d’intercepter des noms d’utilisateur et des mots de passe pour le banking via internet.

L’URL vers laquelle les utilisateurs étaient orientés, a été visitée quasiment trois mille fois, dont 2.600 fois au départ des Pays-Bas. Toute personne concernée devait ou doit annuler les procurations des applis et désinstaller tant les applis que les chargements secrets, selon ESET.

Différentes familles

Le rapport d’ESET sort à peu près au même moment que les enquêtes menées par trois autres entreprises de sécurité. C’est ainsi que Malwarebytes a également découvert un (autre) malware de Troie dans le Play Store, baptisé AsiaHitGroup, et se présentant sous la forme d’applis légitimes. Il pouvait dans ce cas s’agir d’une appli d’alarme, d’un lecteur de codes QR, d’un traitement de texte ou d’une boussole. Ces applis constituaient surtout un front en vue d’en télécharger d’autres, un SMS de Troie qui abonnait les utilisateurs à un numéro payant. Les applis AsiaHitGroup ont été téléchargées par des milliers d’utilisateurs et ce, uniquement en Asie.

McAfee a également découvert dans le Play Store 144 applis incorporant le maliciel Grabos. Elles prenaient souvent la forme de lecteurs audio ou d’applis pour télécharger des fichiers MP3. Selon la firme de sécurité, les applis auraient été téléchargées entre 4 et 17 millions de fois. Le but de Grabos est d’afficher de fausses notifications sur les machines infectées et d’inciter ainsi les utilisateurs à installer d’autres applis encore. Le risque est très grand que les agresseurs recourent à cette tactique pour dérober de l’argent via un système de paiement par appli installée.

La quatrième entreprise de sécurité, Dr. Web, a pour sa part découvert une campagne axée sur le malware qu’elle appelle elle-même Android.RemoteCode.106.origin. Il est ici question de neuf applis du Play Store ayant été téléchargées entre 2 et 11 millions de fois. Après installation, elles ouvraient un site web dans un navigateur dissimulé, ce qui permettait à ce site de recevoir davantage de visiteurs et pouvait ainsi demander plus cher pour l’insertion de publicités.

Google signale entre-temps que les utilisateurs qui installent son système de sécurité Play Protect, seraient protégés contre ces applis. (EB/ANP)

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire