Des chercheurs en sécurité ont détecté des publiciels et des chevaux de Troie affectant des centaines de milliers d’utilisateurs. À supprimer le plus rapidement possible de son terminal.
Google a beau verrouiller son Play Store de plus en plus, cela ne semble pas beaucoup gêner les développeurs de malwares. Deux campagnes ont récemment été détectées, affectant des centaines de milliers d’utilisateurs.
La première, baptisée Terracotta, est un botnet de publiciels qui s’est appuyé sur 56 applications Android qui étaient disponibles sur le Play Store depuis fin 2019 et qui ont totalisé 94 685 installations.
Détectés par les chercheurs en sécurité de WhiteOps, ces logiciels proposaient généralement des chaussures gratuites (« Get Free Shoes », « Free Boots », « Free Sneakers ») ou des coupons d’achat. Évidemment, ces produits n’ont jamais été livrés.
En réalité, les applis lançaient une fenêtre de navigation en arrière-plan pour afficher des publicités. Celles-ci étaient générées sous une fausse identité, comme si elles s’affichaient dans une autre application, bien réelle. L’identité de plus 5 000 applis a ainsi été usurpée par ce tour de passe-passe qui permettait aux pirates de blanchir leur inventaire publicitaire frauduleux. Le volume était assez conséquent : rien que durant la dernière semaine de juin, ce botnet a généré 2,4 milliards d’affichages publicitaires sur 65 000 appareils infectés en usurpant l’identité de 5 500 applications légitimes. Depuis, Google a expulsé les 56 applications malveillantes.
Des abonnements frauduleux par le Joker
La seconde campagne a été détectée par les chercheurs en sécurité de Pradeo. Ces derniers ont trouvé six applications sur Google Play intégrant le malware Joker, qui sévit sur Android depuis 2017.
Ce cheval de Troie vole les données personnelles, intercepte les SMS et — surtout — souscrit des abonnements payants à l’insu de l’utilisateur. Les développeurs de Joker sont très prolifiques, capables d’envoyer des dizaines de fausses applications en une seule journée.
Heureusement, la plupart de ces logiciels sont directement mis à la poubelle par Google. En janvier dernier, l’éditeur indiquait avoir déjà supprimé 1 700 versions de ce cheval de Troie avant qu’il ne soit téléchargé par quelqu’un. Mais certaines versions arrivent quand même à perdurer. Les six applications vérolées trouvées par Pradeo ont ainsi été téléchargées près de 200 000 fois.