Des centaines d'applications malveillantes, diffusées sur le Google Play Store, sont parvenues à contourner les sécurités d'Android 13. Elles essaient de dérober les identifiants puis l'argent des utilisateurs.

Le Google Play Store est sous le feu des cybercriminels © luechai wanapapobsuk / Shutterstock
Le Google Play Store est sous le feu des cybercriminels © luechai wanapapobsuk / Shutterstock

La cybersécurité mobile est sous la menace d'une attaque informatique publicitaire d'envergure, une de plus ! Les chercheurs de Bitdefender ont dévoilé mardi 18 mars une campagne malveillante qui est en train de toucher de façon massive le Google Play Store. Au total, les experts ont recensé 331 applications frauduleuses, à désinstaller au plus vite.

Ces dernières ont trompé les systèmes de protection de Google et cumulent aujourd'hui plus de 60 millions de téléchargements. Fait préoccupant, lors de la publication de l'étude mardi, 15 de ces applications étaient encore disponibles au téléchargement.

Des centaines d'applications malveillantes se camouflent en applis utilitaires populaires

Ces applications malveillantes se camouflent sous l'apparence d'utilitaires courants. On retrouve des applications de suivi de dépenses, des scanners de QR code, des apps de santé ou encore des fonds d'écran. La plupart sont apparues sur le Google Play Store au troisième trimestre dernier. Certaines étaient initialement légitimes, avant d'être transformées en logiciels malveillants lors de mises à jour ultérieures.

Entrons dans le vif du sujet. Pour contourner Android 13, les cybercriminels ont développé des méthodes plutôt astucieuses. Notamment, ils désactivent l'icône de lancement par défaut et utilisent du code natif pour la masquer après installation, une pratique normalement impossible sur les versions récentes d'Android. Certaines applications vont jusqu'à modifier leur nom en « Google Voice » dans les paramètres, pour se faire passer pour des services officiels.

Autrement expliqué, le génie malfaisant de ces applications réside dans leur capacité à tromper le système Android. Les pirates utilisent un « fournisseur de contenu » automatiquement interrogé par le système après l'installation, ce qui leur permet de démarrer l'application sans action de l'utilisateur. Ils créent ensuite un affichage virtuel invisible, comme un écran fantôme, où ils lancent leurs activités malveillantes tout en restant indétectables pour l'utilisateur.

La technique la plus sophistiquée implique l'utilisation de DisplayManager.createVirtualDisplay pour créer un affichage virtuel, qui permet ainsi de démarrer des activités sans être au premier plan du téléphone. D'autres utilisent le LEANBACK_LAUNCHER (à la base conçu pour Android TV), comme mécanisme supplémentaire d'évasion sur les smartphones classiques. Mais que se passe-t-il ensuite ?

Certaines de ces applications paraissent hélas tout à fait légitimes... en apparence seulement ! © Bitdefender x Clubic
Certaines de ces applications paraissent hélas tout à fait légitimes... en apparence seulement ! © Bitdefender x Clubic

Publicités intempestives et vol de données, les dangers concrets pour votre smartphone

Une fois installées, ces applications montrent plusieurs comportements dangereux. Elles affichent des publicités plein écran intempestives, même lorsqu'elles ne sont pas actives, sans avoir les permissions normalement requises. Mais ce n'est pas le pire ! Car plus grave, elles tentent de dérober des identifiants pour divers services en ligne et des informations bancaires à l'aide d'attaques de phishing (hameçonnage).

Pour échapper à la détection, les développeurs malveillants ont intégré des mécanismes anti-analyse qui détectent les environnements émulés utilisés pour les tests de sécurité. Ils utilisent également différentes méthodes de chiffrement pour leurs communications, combinant AES, Base64 et des algorithmes personnalisés pour brouiller les pistes.

La répartition géographique révèle que le Brésil est le pays le plus touché, suivi par les États-Unis, le Mexique, la Turquie et la Corée du Sud. La France, plus minoritaire, ferait malgré tout partie des nations impactées

Alors Google a bien commencé à retirer ces applications, mais Bitdefender recommande d'installer une solution de sécurité mobile dédiée. La liste complète des 331 applications concernées est disponible sur GitHub, et autant vous dire qu'il s'agit d'un outil précieux pour vérifier si votre appareil est affecté par cette menace. Si l'une de ces apps se retrouve sur votre appareil désinstallez-la d'urgence !

Bitdefender Total Security
  • moodEssai 30 jours
  • devices3 à 10 appareils
  • phishingAnti-phishing inclus
  • local_atmAnti-ransomware inclus
  • groupsContrôle parental inclus
9.5 / 10
Voir le site
Lire le test