Au total, la cinquantaine d’applications frauduleuses trouvées par des chercheurs en sécurité informatique sur le Play Store cumuleraient pas moins de 4 millions de téléchargements. Elles sont désormais bannies de la boutique, mais auraient été en mesure de faire payer à leurs utilisateurs des achats in-app non demandés.
Facturation des victimes
Les apps intégreraient un malware de la famille dite Expensive Wall comme l’ont appelée les chercheurs de CheckPoint. Elles transfèrent, selon la firme d’infosec, discrètement les numéros de téléphone, la géolocalisation et l’IMEI des smartphones à un serveur pirate. Après avoir récupéré les numéros de téléphone de leurs victimes, les applications utilisaient ce dernier pour les inscrire à des services payants par SMS. Les utilisateurs réglaient ensuite les achats non désirés sur leurs factures téléphoniques.
Toute la sophistication de cette famille de malware est de compresser et chiffrer un fichier exécutable avant de soumettre à Google l’application finale. Ainsi, le service Play Store ne détectait pas la supercherie et distribuait les applications. Une fois sur le smartphone, la clef transmise avec l’application déballait le paquet chiffré et permettait l’exécution du logiciel malveillant.
Capture d’écran réalisée par CheckPoint sur une application touchée par ExpensiveWall
Pour CheckPoint, ces applications ont été créées exclusivement pour faire des profits grâce à leurs victimes. Toutefois, la technique d’encapsulage du code malveillant et la faille ouverte par celui-ci pourraient se révéler plus destructrices si les hackeurs avaient cherché à collecter des données sensibles, enregistrer de l’audio, etc. Selon les dires de la firme rapportés dans Ars Technica, même après suppression des apps dans la boutique Google, le malware ne sera stoppé qu’une fois supprimé de tous les smartphones.
L’outil Play Protect de Google qui supprime les malwares détectés n’étant pas compatible avec toutes les versions d’Android, certains smartphones pourraient rester vulnérables encore longtemps. CheckPoint note enfin que le malware de la famille ExpensiveWall est diffusé dans les applications à cause d’un SDK appelé GTK — rien à voir avec le projet libre. Il est de fait impossible de savoir si les développeurs ont sciemment intégré le malware à leurs applications ou s’ils sont des victimes collatérales.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
