6 mois que 60 000 applications Android infectent nos smartphones, comment sont-elles passées inaperçues ?

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 07 juin 2023 à 17h20

Depuis plusieurs mois, des milliers d'applications à l'apparence légitime circulent sur Android en diffusant des adwares, ces petits logiciels qui propulsent des publicités intempestives sur nos appareils.

Les chiffres peuvent donner le vertige. Ces 6 derniers mois, quelque 60 000 applications uniques malveillantes sont passées sous les radars de détection du secteur cyber du monde entier, jusqu'à ce qu'un outil de Bitdefender finisse par découvrir le pot aux roses. Les applications diffusaient un adware, un logiciel publicitaire pouvant ensuite rediriger les utilisateurs vers d'autres types d'outils encore plus dangereux.

Des sites tiers référencés sur Google pour inciter les utilisateurs à télécharger les applications malveillantes

L'adware en question est actif depuis octobre 2022. Il est distribué sous la forme de fausses applications qui peuvent aussi bien être des copies que des équivalents de VPN, de logiciels de sécurité, de Netflix, d'un YouTube ou d'un TikTok sans publicités, ou autres. L'idée est de faire croire à l'utilisateur que télécharger ces applications peut lui permettre de bénéficier de fonctionnalités étendues.

Pour diffuser ces applications malveillantes, les pirates s'appuient sur des sites internet qui vont en faire la promotion. Vous aurez donc compris que les apps ne sont cette fois pas hébergées sur le Google Play Store, mais bien sur des sites tiers. Ceux-ci vous incitent à utiliser des APK et packages d'installation Android qui facilitent l'installation de ces applications vérolées.

Ces fameux sites web peuvent alors rediriger les internautes de deux manières : soit ils sont poussés à visiter d'autres sites web qui génèrent de la publicité et des revenus, soit ils sont incités à télécharger l'application au départ recherchée sur Google. Car oui, ces sites sont bien présents sur le moteur de recherche !

Les utilisateurs américains sont les plus touchés par l'adware, qui a aussi frappé la France © Bitdefender

Un adware capable de vous rediriger vers un cheval de Troie bancaire

Une fois l'application malveillante sous forme d'APK téléchargée, que se passe-t-il ? L'APK est infecté par le logiciel malveillant, mais pour une question de privilèges (autorisations), l'activation reste manuelle. C'est au moment où vous ouvrez l'application après son installation que vous activez le fameux malware.

L'outil est plutôt perfide, car difficilement repérable. Il n'utilise pas d'icône et présente pour titre un caractère UTF-8. Si l'utilisateur lance l'application, le message d'erreur suivant s'affiche alors : « L'application n'est pas disponible dans votre région. Appuyez sur OK pour désinstaller. » Évidemment, appuyer sur « OK » ne lancera aucune procédure de désinstallation. L'application se met simplement en veille pendant deux heures avant de s'enregistrer à nouveau. Lorsqu'elle est lancée, elle se connecte au serveur des hackers pour récupérer les publicités à afficher sur le smartphone en plein écran, ou directement dans le navigateur.

Selon Bitdefender, le malware n'est pour l'instant utilisé que pour afficher de la publicité. Néanmoins, les hackers ont la capacité d'échanger les URL des adwares par des sites web plus malveillants, pour rediriger les utilisateurs vers des chevaux de Troie bancaires qui aboutiraient à un vol d'informations personnelles et bancaires, et au lancement de potentiels ransomwares.

Source : Blog Bitdefender

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic – Sensible à la cybersécurité, aux télécoms, à l'IA, à l'économie de la Tech, aux réseaux sociaux ou encore aux services en ligne. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

KlingonBrain

« comment sont-elles passées inaperçues ? »

IMHO il faudrait poser une autre question : comment peut t’on s’assurer qu’un logiciel ne contient aucun malware ?

Un programmeur vous dira que ce n’est pas simple du tout Et encore plus quand le logiciel est propriétaire et que le code source est fermé.

A l’heure actuel, ceux qui y parviennent le mieux, c’est les dépôts des distributions Linux.

Le fait que le code source soit ouvert et que les communautés regardent les modifications apportées limitent les possibilités d’introduire des malwares.

KlingonBrain

Ça donne raison à Apple qui verrouille son écosystème, mais ce sera défait avec les injonctions européennes.
Android c’est le Far West. Plusieurs régions du monde et de marques de smartphones utilisent autre chose que le Play Store comme boutique d’applications, et ces appstores non officielles ne disposent pas les moyens de Google pour bloquer le malware (et encore pas mal passent encore à travers les mailles du filet).

Sauf que les environnements les moins verrouillés comme les distributions Linux sont réputés pour leur faible taux de malwares dans les dépots.

On pourra dire ce qu’on veut, mais transparence du code source et contrôle communautaire continu sur les modifications sont de très gros atouts en matière de sécurité.

JeXxx

Donc en gros si je résume l’article, je me dirige vers un site qui propose un fichier .apk, je le met sur mon téléphone, j’active manuellement l’autorisation pour l’installer.

Qui est le responsable ? L’utilisateur, en rien l’OS, donc le titre est trompeur, ce ne sont pas 60 000 applications qui sont infectés, c’est un site qui délivre 60 000 applications infecter, parce que à vous lire ces 60 000 applications sont disponibles sur le Play Store.

dFxed

Le sideload est possible sur Android comme sur iOS. Il est stupide de dire qu’android c’est la jungle, alors même que l’article traite de problématiques dont l’appstore est aussi la cible.
C’est juste un biais d’échantillonnage que de dénoncer qu’il y en a plus sur Android…

JeXxx

Tu n’as rien compris, c’est l’utilisateur qui doit manuellement mettre un fichier .apk sur son téléphone, donner lui donner explicitement l’autorisation de s’installer et là il est infecter, là il ne passe par aucun store, puis demain si l’utilisateur ne veut pas utiliser le store officiel de l’OS pour éviter les problèmes c’est son problème.

Ce problème existe sur tous les OS, que ce soit Android, IOS (via Cydia), MacOS, Windows, Linux avec par exemple des fichiers torrents qui propose des logiciels gratuits alors que à la base ils sont payants.

Baxter_X

Il va vraiment falloir que tu envisages de te renseigner un peu avant de poster toi. C’est pas la première fois que tu écris un peu n’importe quoi.

DrGeekill

Il est bien précisé dans l’article que ces derniers sont sur les stores alternatifs.

Sinon ces stores, comme apkpure ont tout de même un intérêt : Pouvoir retrouver des applis qui ne sont plus disponibles sur le Play Store. J’en veux pour exemple un livre qui utilise une app AR et cette app est restée moins de 1 an. Bien content d’avoir pu récupérer cette appli et pouvoir la conserver. Un autre exemple est un jeu remplacé par une version 2 qui a subit de grosses critiques des joueurs qui regrettent la disparition du premier. Là encore on peut le retrouver sur APKPure ou autre. Évidemment il faut toujours vérifier les fichiers mais un Store réputé est loin d’être un nid à malwares. A contrario une appli fiable même sur Google Play peut recevoir une mise à jour et devenir malveillante à n’importe quel moment

LeVendangeurMasque

Ça donne raison à Apple qui verrouille son écosystème, mais ce sera défait avec les injonctions européennes.

Non, si ça met en danger à ce point les utilisateurs, Apple pourra refuser. La sécurité, c’est un intérêt public majeur, et ça passe avant les intérêts mercantiles de devs radins au point de pas vouloir lâcher 15% de com.
Et les débiles de la commission européenne n’auront pas grand chose à arguer contre ça devant un tribunal. On voit avec cet article ce que le dirigisme, l’incompétence et la démagogie pourraient donner si on les laisse légiférer.

max6

Non cela ne donne raison à personne dans la mesure ou il n’y a pas une semaine sans alerte à cause d’applications « pourries » présentes dans les stores et cela est autant valable pour android que pour apple ce qui augmente la sécurité , à mon sens et cela reste mon avis, c’est par exemple de ne pas mélanger ses applications bancaires, étatiques et de paiement avec par exemple ce jeu si chou qui me demande l’accès à mon répertoire mes photos ou n’importe quelle autorisation d’ailleurs pour lancer le plus loin possible un pingouin avec une batte de baseball

mrassol

Non pas si l’europe leur impose

Apple saura précisément d’où tu as installé l’application et pourra très facilement mettre des bâtons dans les roues pour un quelquonque SAV