Des applications frauduleuses et dangereuses se faufilent sur le Play Store de Google et attirent des dizaines de millions d’utilisateurs sans méfiance, générant des revenus lucratifs pour leurs opérateurs. Les initiatives de Google pour améliorer la sécurité de son Play Store sont bien documentées. Il y a le Play Protect et son accélérateur App Defense Alliance, le dépistage des abus de permission par l’IA et le programme de protection avancée pour les personnes les plus à risque. Mais, malgré tout cela, des volumes ahurissants de logiciels malveillants continuent de percer sur le store. 

Au début de ce mois, Upstream a averti que le Play Store ne devenait pas plus sûr. Au cours du premier trimestre 2020, selon les chercheurs, le nombre d’applications Android « malveillantes » a doublé par rapport à l’année précédente, les transactions frauduleuses ayant augmenté de 55 %. Selon Upstream, 98 000 applications malveillantes ont affecté 43 000 appareils l’année dernière.

Ce genre de chiffres est difficile à croire, jusqu’à ce que vous lisiez des rapports comme le dernier de l’équipe de White Ops, groupe de renseignement et de recherche sur les menaces réseau, publié le 9 juin. Ce rapport dresse un tableau effrayant d’un programme de fraude systématique, conçu spécifiquement pour vaincre les protections du Play Store, affectant les utilisateurs d’Android à grande échelle. L’équipe des chercheurs affirme que ses conclusions « offrent une excellente étude de cas sur le développement, la publication, l’adaptation et le retrait des ressources de la fraude ».

Les 38 applications différentes détectées et divulguées par White Ops ont été téléchargées et installées plus de 20 millions de fois. Les menaces ne sont pas nouvelles. Ce sont des publicités frauduleuses visant à générer des revenus de visualisation et de clic pour ses opérateurs, des visites automatisées de sites web spécifiques sans aucun clic de l’utilisateur, voire la suppression d’icônes pour rendre la suppression difficile et prolonger la durée de vie frauduleuse de chaque application sur un appareil spécifique.

Les 38 applications ont été retirées du Play Store. Mais ce n’est pas le sujet de cette histoire. Les opérateurs savaient que l’intention malveillante de ces applications serait découverte et qu’elles seraient retirées. Leur plan a donc été de lancer une application après l’autre, en permanence. « Depuis la sortie de cette première application (en janvier 2019), les fraudeurs ont sorti une nouvelle application tous les 11 jours en moyenne », explique White Ops. Et en moyenne, ces applications ont été retirées du Play Store 17 jours plus tard.

Google a confirmé être au courant de ces découvertes et les applications ont été supprimées, mais n’a pas fait de commentaires supplémentaires.

« Ces applications n’offrent pas de réelle fonctionnalité », a dit White Ops, « car les applications enlèvent leurs icônes de l’écran d’accueil, ce qui rendra ensuite l’accès aux applications presque impossible pour l’utilisateur. Ces applications sont donc probablement conçues et réalisées uniquement pour la fraude ».

Malgré la durée relativement courte de chaque application sur le store, le nombre moyen d’installations pour chacune d’entre elles s’est élevé à plus de 500 000. Les fraudeurs ont ensuite adapté leurs techniques, améliorant ainsi leurs tactiques de fraude. « Le fraudeur a probablement mis au point un mécanisme plus robuste pour éviter la détection et la suppression. Un lot de 15 applications, toutes publiées après septembre 2019, avait un taux de retrait beaucoup plus lent en utilisant ces nouvelles techniques. »

White Ops décrit cela comme « le jeu du chat et de la souris, dans lequel le Play Store traque le fraudeur et le tient en échec en retirant les applications frauduleuses dès qu’elles sont découvertes ». L’équipe a également remarqué un nouveau rebondissement avec deux des applications les plus récentes. Les applications avec un code de fraude actif sont entrées dans le store en novembre, puis ont été mises à jour un mois plus tard avec le code de fraude actif supprimé.

L’équipe de White Ops suggère que cela « pourrait être une tentative de tester si le code retiré a été le catalyseur du retrait des applications précédentes du Play Store. Les fraudeurs pourraient essayer de déterminer exactement quels critères sont utilisés par le Play Store pour justifier le retrait de leurs applications précédentes ».

L’alternative, bien sûr, est que les opérateurs laissent les applications fonctionner en veilleuse, obtenant des installations sans déclencher les algorithmes de détection de Google. Ces applications seraient alors disponibles pour être réactivées plus tard avec des codes frauduleux.

Le programme de l’opérateur était sophistiqué à tous les niveaux. Il testait clairement l’enveloppe Google pour voir ce qui fonctionnait et ce qui ne fonctionnait pas. Cela inclut la manière dont le code frauduleux a été enterré dans l’APK de l’application et l’utilisation de caractères inhabituels pour masquer le code.

Au-delà du code lui-même, cette sophistication comprenait la création de nouveaux éditeurs pour chaque application afin de masquer les liens et son réseau interconnecté. Ces réseaux de faux éditeurs ont fait l’objet d’une surveillance particulière de la part de Google au cours des derniers mois. Il est clair que pour les opérateurs, il est facile d’enquêter et d’interdire ensuite le contenu du catalogue complet d’un éditeur, plus difficile de traquer un réseau. Bien que les éditeurs soient généralement signalés comme étant connectés, d’autant plus que leurs installations sont probablement automatisées, il s’agit souvent de trouver des échantillons de logiciels malveillants communs à toutes les applications.

White Ops recommande aux utilisateurs de supprimer ces applications de leurs appareils à l’aide de leur gestionnaire d’applications. Ironiquement, un rapport de sécurité similaire sur les dangers qui se cachent dans ces soi-disant « caméras de beauté » pour améliorer les selfies a été publié en janvier. Ces applications allaient plus loin que les programmes malveillants et touchaient les appareils avec des logiciels malveillants qui pouvaient voler les données des utilisateurs.

Il y a toujours le risque, avec les rapports sur la fraude publicitaire, qu’il semble que les victimes ne soient que des annonceurs et des plateformes publicitaires, et il est donc facile pour les utilisateurs de devenir trop complaisants avec de telles menaces. Mais n’oubliez pas que si une application peut infecter votre appareil avec un logiciel malveillant, elle peut alors télécharger des menaces supplémentaires et elle peut évoluer sur instruction de son serveur de commande et de contrôle externe pour faire plus de mal. Vous ne voulez aucune application malveillante sur votre appareil.

White Ops n’a pas détecté d’autres programmes malveillants dans ces applications, bien que l’équipe a confirmé avoir « détecté du code dans les applications pour lancer une nouvelle instance de navigateur en ouvrant le navigateur par défaut de l’appareil et en pointant vers une URL communiquée par la commande et le contrôle, à l’insu de l’utilisateur. Cependant, nous n’avons pas été en mesure de capturer les URL dans notre environnement de laboratoire pendant l’enquête ».

Et donc les recommandations habituelles : supprimez ces applications à l’aide de votre gestionnaire de programmes, étant donné que les icônes auront été cachées. Au-delà de cela, faites attention à ce que vous téléchargez. Vérifiez les critiques. Si vous constatez des plaintes concernant le volume de publicités, alors n’installez pas cette application. De même, si les avis semblent automatisés, évitez de les installer. Votre appareil est une ouverture sur votre monde numérique.

 

Article traduit de Forbes US – Auteur : Zak Doffman 

<<< À lire également : Firebase : Une Fuite De Données Personnelles Sur Certaines Applications Android >>>