Des chercheurs du fournisseur d’antivirus Kaspersky ont découvert une nouvelle application malveillante dans le magasin d’applications Android de Google. L’application malveillante, CamScanner, est une application qui permet à ces utilisateurs de créer des documents PDF et a enregistré plus de 100 millions de téléchargements. Selon les chercheurs, CamScanner contient un code malveillant qui peut par exemple afficher des annonces intrusives ou inscrire les utilisateurs aux abonnements payants.
Les grands magasins d’applications tels que le Play Store de Google sont réputés pour être des refuges sûrs pour trouver les applications dont on a besoin, mais il arrive régulièrement que des applications malveillantes arrivent à déjouer la vigilance des modérateurs. Selon les chercheurs de Kaspersky, le problème est que même une entreprise aussi puissante que Google ne peut pas vérifier en profondeur des millions d’applications. De plus, la plupart des applications sont mises à jour régulièrement. Par conséquent, les tâches des modérateurs ne sont jamais terminées.
Dans un billet de blog, les chercheurs de Kaspersky ont expliqué que pendant un certain temps, CamScanner était une application légitime, sans aucune intention malveillante. C’était un simple créateur de PDF sur les smartphones qui inclut la reconnaissance optique de caractères (OCR) et qui a été téléchargé plus de 100 millions de fois sur Google Play. Il utilisait des publicités pour la monétisation et autorisait même les achats intégrés. Puis, à un moment donné, à travers un processus de mise à jour, les développeurs de l’application ont choisi d’y insérer une bibliothèque de publicités contenant du code malveillant.
Selon les chercheurs, ces derniers ont commencé à suivre de près CamScanner lorsque plusieurs de ses utilisateurs ont commencé à laisser des commentaires estimant que l’application adoptait des comportements suspects. Ils ont aussi laissé des critiques négatives sur la page Google Play de l’application avec des avertissements demandant de l’éviter. Les chercheurs de Kaspersky ont examiné une version récente de l’application et y ont trouvé le module malveillant. À l’heure actuelle, l’application a été supprimée du Play Store après que les chercheurs de Kaspersky aient signalé les résultats de leurs observations à Google.
CamScanner contenait un composant malveillant sous le nom de « Trojan-Dropper.AndroidOS.Necro.n », un « dropper » ou l’équivalent d’un cheval de Troie. Fondamentalement, un « dropper », traduit en français comme compte-gouttes, correspond exactement à ce que son nom implique. C’est un programme conçu pour exécuter et installer un virus sur votre système. Le programme lui-même n’est ni infecté, ni un virus, car il ne se réplique pas. Donc, techniquement, un « dropper » devrait être considéré comme un cheval de Troie. Ces caractéristiques lui permettent de passer inaperçu lors d’analyses antivirus.
Autrement dit, souvent, du fait que le virus est caché dans le code du programme, un scanner ne détecte le danger qu’après l’intrusion du virus dans votre système. De cette façon, CamScanner a facilement réussi à passer les contrôles de sécurité mis en place par les modérateurs du Play Store de Google. De plus, selon les chercheurs de Kaspersky, la bibliothèque de publicités de CamScanner qui contient le code malveillant est semblable à un module souvent trouvé dans les logiciels malveillants préinstallés sur les smartphones fabriqués en Chine. Cela permet de télécharger et d’exécuter n’importe quel autre code malveillant.
Selon les chercheurs, ce malware aurait été ajouté à cause d’un partenariat des développeurs de l’application avec un annonceur peu scrupuleux. « Les fonctions Trojan-Dropper.AndroidOS.Necro.n décrites ci-dessus remplissent la tâche principale du logiciel malveillant : télécharger et lancer une charge utile à partir de serveurs malveillants. En conséquence, les propriétaires du module peuvent utiliser à leur avantage un appareil infecté comme bon leur semble : montrer à la victime de la publicité intrusive ou voler de l’argent sur son compte mobile en lui facturant des abonnements payants », ont-ils déclaré.
Il faut noter que les applications qui présentent de la publicité intrusive deviennent de plus en plus nombreuses sur le Play Store. Cette année seulement, Google a déjà supprimé plus d’une centaine d’applications du Play Store. En janvier, Google a procédé à la suppression de 85 applications publicitaires (adware) du Play Store. La publicité devrait être utilisée pour inciter le consommateur à s’intéresser à une offre ou concrétiser un achat. Mais bien souvent, on se rend compte que certains développeurs en abusent, ce qui a poussé Google à revoir sa politique développeur en 2017 et à changer les règles encadrant la publicité sur Android.
De même, en avril passé, il a été découvert que des applications populaires du Google Play Store se livrent à la fraude publicitaire à grande échelle. En découvrant cela, Google les a supprimées, mais le constat est que les développeurs d’applications Android et iOS misent énormément sur la publicité et sont parfois prêts à utiliser des moyens non recommandés pour insérer et diffuser de la publicité. D’après une enquête de BuzzFeed News, plusieurs applications, y compris une application selfie avec plus de 50 millions de téléchargements sur Play Store, se sont livrées à la fraude publicitaire à grande échelle et ont abusé des permissions des utilisateurs.
Selon BuzzFeed News, ces applications avaient l’habitude d’effectuer des clics publicitaires même lorsqu’elles ne fonctionnaient pas en arrière-plan, épuisant la batterie et consommant des données des utilisateurs. Les conclusions livrées par les chercheurs ont montré que ces applications demandaient des permissions inutiles et commettaient des fraudes publicitaires en utilisant ces permissions supplémentaires. Il a également été constaté que six applications qui se livraient à des pratiques contraires à l’éthique sont de DU Group, une société chinoise, et ces applications ont au total plus de 90 millions de téléchargements.
Pour les chercheurs de Kaspersky, toute application, même une boutique officielle, de bonne réputation, avec des millions de critiques positives et une base d’utilisateurs fidèle et importante, peut se transformer en malware du jour au lendemain. Avant de télécharger une application, ils recommandent de parcourir les commentaires sur celle-ci et de faire attention aux permissions qu’elle requiert lors de son installation. Dans le meilleur des cas, il faut penser à utiliser un logiciel antivirus pour Android pour analyser régulièrement son smartphone.
Source : Kaspersky