Toutes les applications sur Google Play sont sûres : Info ou intox ?

13 Sep 2019

Nous recommandons toujours de télécharger les applications Android depuis les boutiques officielles et nulle part ailleurs. Mais cela ne veut pas dire qu’il n’y a pas de virus dans Google Play. Cependant, il est vrai que vous en trouverez moins dans la boutique officielle que sur les sites tiers, et qu’ils sont régulièrement supprimés.

Il n'y a pas de logiciel malveillant dans la boutique officielle Android, n'est-ce pas ? Nous explorons cette affaire en profondeur

Comment Google surveille la sécurité des applications Android ?

Ce n’est pas une mince affaire pour les logiciels malveillants d’entrer dans Google Play. Avant de publier une application, les modérateurs s’assurent qu’elle est conforme à une longue liste d’exigences. S’ils constatent une infraction, ils bannissent le programme de la boutique.

Cependant, Google Play reçoit un tel nombre de nouvelles applications et de mises à jour d’applications déjà existantes que les modérateurs ne peuvent pas tout contrôler. Donc, de temps en temps, des applications malveillantes s’introduisent. Voici quelques-uns des incidents les plus frappants.

Scanner à double usage

Nos chercheurs ont récemment détecté un code malveillant dans l’application CamScanner utilisée pour numériser des documents. Non seulement l’application était disponible sur Google Play mais aurait été installée par plus de 100 millions d’utilisateurs.

Que s’est-il passé ? Eh bien, jusqu’à un certain point, CamScanner était une application normale qui ne faisait qu’exécuter les fonctions pour lesquelles elle était programmée. Ses développeurs tiraient des revenus de la publicité et des fonctions payantes ; rien d’inhabituel pour l’instant. Mais cela a changé lorsqu’une fonctionnalité malveillante a été ajoutée à l’application.

Un logiciel malveillant, sous la forme du Trojan-Dropper Necro.n, s’est glissé dans l’un des modules publicitaires et a installé un autre cheval de Troie qui s’occupe de télécharger d’autres infections sur l’appareil. Il s’agit notamment d’applications publicitaires et de programmes qui s’abonnent à des services payants sans que l’utilisateur ne le sache.

Nos experts ont communiqué cette découverte à Google, dont les administrateurs ont retiré l’application de la boutique. Les développeurs de CamScanner ont rapidement supprimé les modules malveillants de l’application pour la remettre en ligne. Cependant, la version infectée était disponible au téléchargement depuis un certain temps déjà.

Lecteur voleur

CamScanner n’est en aucun cas le seul exemple d’application qui a vu apparaître des fonctionnalités malveillantes alors qu’elles étaient disponibles dans la boutique Google Play. Les créateurs du cheval de Troie qui se faisait passer pour un lecteur permettant d’écouter de la musique sur VKontakte (VK) ont réussi à passer entre les mailles du filet des modérateurs de la même manière pendant plusieurs années.

Une version propre a d’abord été téléchargée sur Google Play, suivie de quelques mises à jour inoffensives. Mais après quelques mises à jour, l’application a commencé à voler les identifiants et les mots de passe des comptes VK. De plus, les victimes n’en savaient probablement rien et leurs comptes ont été furtivement utilisés pour promouvoir les groupes VK.

Lorsque la version mise à jour du lecteur a été démasquée et supprimée de la boutique, ses créateurs en ont immédiatement téléchargé une nouvelle (en fait, plusieurs). En 2015, pas moins de sept versions différentes du programme malveillant ont été supprimées de Google Play. Puis d’autres en 2016. En analysant une période de deux mois en 2017, nos analystes ont compté 85 applications de la sorte sur Google Play, dont une avait été téléchargée plus d’un million de fois. De plus, la boutique proposait aussi de fausses versions de Telegram des mêmes auteurs. Ces applications ne volaient pas les mots de passe, mais elles ajoutaient la victime à des groupes et à des chats présentant un intérêt pour les cybercriminels.

Une armée malveillante sur Google Play

Hélas, ce n’est pas tout. Après avoir repéré 85 copies d’une application malveillante, les experts ont trouvé en 2016 pas moins de 400 jeux et autres programmes sur Google Play infectés par le cheval de Troie DressCode.

Une fois installé sur l’appareil de la victime, le logiciel malveillant établit une connexion avec le serveur de commande et de contrôle, puis « s’endort ». Plus tard, les cybercriminels peuvent utiliser ces gadgets dormants et infectés pour commettre des attaques DDoS, gonfler les clics sur les bannières publicitaires ou infiltrer les réseaux locaux auxquels ils sont connectés, comme un réseau domestique ou l’infrastructure d’une entreprise.

En toute honnêteté, il est difficile de blâmer les modérateurs de Google Play ; DressCode n’est pas facile à détecter. Son code est si petit qu’il se perd dans celui de l’application média. En outre, le nombre de programmes infectés détectés sur des sites tiers était nettement plus élevé que sur Google Play. Au total, les chercheurs ont trouvé environ 3 000 jeux, interfaces et applications de nettoyage pour smartphones contenant le cheval de Troie DressCode. Pourtant, 400, c’est encore énorme.

Comment ne pas être infecté par un logiciel malveillant sur Google Play ?

Comme vous pouvez le constater, le simple fait qu’une application soit entrée dans la boutique officielle d’Android ne la rend pas inoffensive. Parfois, des logiciels malveillants parviennent à se faufiler. Pour éviter une infection, méfiez-vous de tous les programmes, y compris ceux de Google Play, et suivez plusieurs règles d’hygiène numérique.

  • Ne téléchargez pas d’applications sur votre smartphone spontanément. Lisez les commentaires des utilisateurs de l’application. Ils peuvent contenir des informations précieuses sur son comportement. Cherchez des informations sur le développeur : peut-être que ses créations passées ont été retirées de la boutique, ou qu’elles sont liées à des histoires douteuses.
  • Lisez les commentaires des utilisateurs avec prudence. Gardez à l’esprit que certains développeurs suspects peuvent inonder leurs pages de commentaires positifs. Cherchez des commentaires d’une longueur décente (pas seulement des commentaires qui disent « Application géniale ! »), qui utilisent un langage naturel et semblent légitimes.
  • Débarrassez-vous des programmes inutiles qui encombrent votre smartphone, ou tablette Android, une fois tous les deux ou trois mois. Moins il y a d’applications sur l’appareil, plus il est facile de les surveiller et de les contrôler.
  • Utilisez une solution de sécurité fiable. Cela vous protégera contre les menaces que les modérateurs de Google Play ne détectent pas.

Alors, est-il vrai qu’il n’y a pas d’applications malveillantes sur Google Play ?

Faux. Il arrive parfois que des programmes malveillants se faufilent dans Google Play. Le risque d’être infecté par un programme disponible dans la boutique officielle d’Android est beaucoup moins élevé que sur les autres sites, mais il existe.