Des chercheurs en cyber-sécurité ont lancé une alerte mercredi contre un logiciel malveillant, ou malware, qui remplace des applications telles que WhatsApp avec des versions malfaisantes affichant des publicités. Près de 25 millions de téléphones Android auraient été touchés.

Surnommé Agent Smith, le malware profite de faiblesses connues dans le système d’exploitation d’Android. Selon Check Point, une entreprise de sécurité israélienne, il est donc crucial de le mettre à jour à la dernière version patchée développée par Google.

La plupart des victimes se trouvent en Inde, où près de 15 millions de téléphones seraient concernés. Mais il y en aurait plus de 300 000 aux États-Unis, ainsi que 137 000 autres au Royaume-Uni, faisant de ce malware la menace la plus sévère ayant pesé sur le système d’exploitation de Google de mémoire récente.

Le malware s’est propagé via un App Store tiers, 9apps.com, détenu par le Chinois Alibaba, au lieu de l’officiel Google Play Store. D’habitude, les attaques n’ayant pas lieu via Google Play se concentrent sur les pays en développement, rendant le succès des hackers aux États-Unis et au Royaume-Uni d’autant plus remarquable, selon Check Point.

Tandis que les applications ainsi remplacées affichent des publicités malveillantes, quiconque est responsable de ces attaques pourrait faire pire, alerte Check Point sur un blog. « En raison de sa capacité à dissimuler son icône au lanceur et à prendre la forme de n’importe quelle application populaire sur l’appareil, il existe des possibilités illimitées pour ce type de malware d’endommager l’appareil d’un utilisateur, » écrivent les chercheurs.

Ces derniers ont indiqué qu’ils avaient alerté Google et les autorités policières concernées. Google n’avait à ce jour fourni aucun commentaire.

En général, l’attaque procède de la manière suivante : les utilisateurs téléchargent une application du store – par exemple, un utilitaire de photos, des jeux ou des applications de contenu pour adultes. Cette application va ensuite secrètement installer le malware, déguisé en outil officiel de mise à jour Google. Aucune icône n’apparaît à l’écran, rendant le logiciel encore plus sournois. Des applications authentiques – allant de WhatsApp au navigateur Opera – sont ensuite remplacées par une mise à jour malveillante afin de leur faire afficher les publicités douteuses. Les chercheurs ont précisé que ces dernières n’étaient pas malfaisantes en elles-mêmes. Mais dans le cadre d’une arnaque typique, chaque clic sur une publicité infectée renvoie alors de l’argent aux pirates informatiques, comme sous la forme d’un système de liens sponsorisés.

Il existe des indices portant à croire que les hackers envisagent de migrer vers Google Play. Les chercheurs de Check Point ont indiqué avoir trouvé 11 applications sur le store Google contenant une partie « dormante » du logiciel des hackers. Google avait alors promptement retiré ces applications.  

Check Point est convaincue qu’une entreprise chinoise anonyme basée à Canton se trouve derrière l’élaboration du malware, dirigeant en parallèle une activité aidant les développeur Android chinois à promouvoir leurs applications sur des plateformes étrangères.

Alibaba n’a, à ce jour, pas encore répondu à une demande de commentaire sur la prolifération des malwares sur sa plateforme 9apps.

Comment s’en protéger ?

Alors, que peuvent donc faire les propriétaires inquiets de téléphones Android ? Le directeur de la cyber-analyse à Check Point, Aviran Hazum, indique que si des utilisateurs font l’expérience de publicités apparaissant à des moments inattendus tels qu’en ouvrant WhatsApp, ils doivent prendre des mesures. L’application WhatsApp officielle, en effet, n’affiche pas de publicités.

Tout d’abord, il faut se rendre dans les paramètres d’Android, puis dans la section Applications et Notifications. Ensuite, il s’agit d’aller sur la liste d’informations sur les applications et de chercher des applications suspectes portant des noms tels que Google Updater, Google Installer for U, Google Powers et Google Installer. Cliquez sur ces applications suspectes et choisissez « désinstaller ».

Par ailleurs, il pourrait être utile de se tenir éloigné des App Stores Android non-officiels, étant donné les protections supplémentaires de Google élaborées pour empêcher les malwares d’accéder au site. Toutefois, les efforts de Google ne sont pas toujours récompensés. Plus tôt dans la semaine, une alerte était parue concernant un malware se propageant sur Google Play et enregistrant les sessions bancaires des utilisateurs.