Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Avast découvre un malware mutant résistant sur Google Play

août 2015 par Filip Chytrý, Chercheur en sécurité chez Avast

Un véritable jeu du « chat et de la souris » est en cours entre une équipe de créateurs de logiciels malveillants et Google. Le jeu se déroule de la façon suivante : les hackers mettent en ligne leur programme malveillant sur Google Play, Google Play le retire rapidement, ils le remplacent ensuite par une nouvelle mutation du programme que Google retire à nouveau. Ces applications malveillantes ont jusqu’à présent infecté des centaines de milliers d’utilisateurs.

En avril dernier, Avast a découvert le malware « porn clicker » sur Google Play, qui a pu être téléchargé entre 100 000 et 500 000 fois en se faisant passer pour l’application populaire Dubsmash.

Une fois l’application installée, aucun indice particulier ne permettait à l’utilisateur d’identifier sur son appareil une application intitulée “Dubsmash 2” : en effet, l’application générait à la place une icône qui se présentait sous le nom de “Réglages IS”. Lorsque l’utilisateur ouvre cette application, le Google Play Store active la page de téléchargement de l’actuel “Dubsmash”. Par la même occasion, une liste de liens redirigeant vers divers sites pornographiques est téléchargée, conduisant au lancement d’un des liens de cette liste dans le navigateur. Après une dizaine de secondes, le code procède au clic d’autres liens au sein même du site pornographique.

Dès lors qu’Avast a pris connaissance de cette application malveillante, l’éditeur a contacté Google et l’application a été rapidement retirée du Play Store.

Un malware « mutant »

En juillet dernier, Avast a identifié une mutation du malware « porn clicker », créée par la même équipe turque qui était à l’origine de ce logiciel malveillant. Google a une nouvelle fois réagi rapidement et l’a retirée du Play Store.
Une fois téléchargées, les applications ne présentent aucune activité importante lorsque l’utilisateur procède à l’ouverture de celles-ci, et affichent seulement une image fixe. Toutefois, lorsque l’utilisateur, qui ne se doute de rien, ouvre son navigateur ou d’autres applications, l’application malveillante parcourant l’arrière-plan du système renvoie directement vers des sites pornographiques. Les victimes ne comprennent pas forcément d’où proviennent ces redirections, car il n’est possible d’arrêter ce processus qu’en supprimant l’application.
Les chercheurs en sécurité de chez Eset ont rapporté peu de temps après que de nombreuses applications ayant subi cette mutation se trouvaient dans Google Play, et que la forme originelle du malware y a été téléchargée à plusieurs reprises en mai dernier. Les découvertes d’Avast, combinées à celles d’Eset, prouvent que les auteurs de ces malwares persistent dans leur intention de faire de Google Play une résidence permanente pour leurs logiciels malveillants.

« Nous serons de retour… »

…voilà ce qu’ont dû prononcer ces hackers lorsque Google a pris soin de retirer leurs applications du Play Store. Quelques jours plus tard, le malware était déjà de retour sur Google Play. Le malware, qu’Avast a identifié sous l’appellation « Clicker-AR », était présent dans les trois applications suivantes : Doganin Güzellikleri, Doganin Güzellikleri 2, Doganin Güzellikleri 3. Ce qui signifie littéralement « Beautés de la Nature ». Les pirates avaient en effet modifié les noms des développeurs afin que Google ne puisse pas les retrouver facilement. Avast a signalé à Google la présence de ces applications malveillantes et celles-ci ont été une nouvelle fois retirées.

Que peut faire l’utilisateur ?

Google a du pain sur la planche. En effet, la société a en charge à la fois le maintien du système d’exploitation pour mobiles le plus populaire au monde et un « app store » proposant environ 1,5 millions d’applications.

C’est ici que les éditeurs de solutions de sécurité tels qu’Avast interviennent. L’utilisateur ne s’attend pas à ce que Windows le protège entièrement de ces menaces, c’est pourquoi il procédera à l’installation d’un antivirus sur son PC en vue de s’assurer une protection supplémentaire. Il est donc indispensable de faire de même sur son appareil mobile. De plus en plus de personnes utilisent des appareils mobiles et stockent un nombre important d’informations de grande valeur pour les hackers. La combinaison de cette large cible d’utilisateurs et de ces données précieuses rendues disponibles fait des appareils mobiles une cible naturellement attrayante pour les cybercriminels, déterminés à soutirer des informations personnelles.

Être vigilent

En plus d’avoir installé un antivirus sur son téléphone mobile, l’utilisateur doit également s’assurer de respecter les points suivants :
o Faire attention aux demandes d’autorisations des applications. Si une application fait une demande d’autorisation que l’utilisateur ne juge pas nécessaire pour le bon fonctionnement de l’application, cela annonce probablement la présence d’une faille.
o Vérifier les avis d’utilisateurs. Si d’autres utilisateurs rapportent de mauvaises critiques à propos de l’application, c’est peut-être le signe que cette application ne doit pas être téléchargée.




Voir les articles précédents

    

Voir les articles suivants