Un malware se fait passer pour un antivirus

Une fausse version de notre application Kaspersky Internet Security for Android met en évidence le danger que représente l’installation d’une application à partir des boutiques non officielles.

Dans presque tous nos articles concernant Android, nous vous recommandons d’installer les applications uniquement à partir des sources officielles, et nous continuerons de le faire. Voici pourquoi : récemment, des escrocs ont diffusé un cheval de Troie bancaire qui se faisait passer pour des lecteurs multimédias connus, une application de fitness, un lecteur de livre ainsi qu’une autre application qui nous a touché directement : Kaspersky Internet Security for Android.

Pourquoi est-ce dangereux d’installer des applications à partir des boutiques alternatives

En soi, il n’y a rien qui cloche avec les boutiques tierces, mais on ne peut jamais être sûr à 100 % qu’elles sont fiables. Dans une boutique Android officielle, qu’il s’agisse de Google Play ou de Huawei AppGallery, les employés de chacune de ces sociétés filtrent chaque application créée par les développeurs, et éliminent celles qui sont clairement malveillantes. Ceci concerne les grandes entreprises qui cherchent à protéger leur réputation et qui ont à cœur la protection des clients, et qui possèdent à la fois les ressources nécessaires ainsi qu’une grande motivation pour protéger les utilisateurs des malwares.

Cependant, les malwares réussissent parfois à se frayer un chemin dans ces boutiques et même dans Google Play, même s’il est moins probable d’en trouver dans ce dernier que sur des forums, des trackers torrent et d’autres sites. Les boutiques plus petites mais fièrement indépendantes ne réalisent pas autant de vérifications à cause d’un manque de ressources. Par conséquent, on y trouve toutes sortes d’applications, même des chevaux de Troie.

Cependant, vous devez savoir que le simple fait de télécharger un malware sur un appareil Android n’est généralement pas suffisant pour infecter votre téléphone, sauf s’il s’agit d’un exploit zero-day afin d’obtenir les droits « root ». En effet, installer une application malveillante sur Android requiert de grands efforts. Le système d’exploitation envoie des requêtes à l’utilisateur à chaque étape : s’il veut vraiment installer l’application, s’il accepte les demandes d’autorisations envoyées par cette dernière, etc. Les cybercriminels ont recours à l’ingénierie sociale pour convaincre les victimes d’accepter, et ils y arrivent la plupart du temps.

La sécurité malveillante d’une boutique alternative

Il y a quelques temps, un groupe de chercheurs a découvert des applications Android sur plusieurs faux sites. Ces dernières contenaient une fausse version de Kaspersky Internet Security for Android.

Les escrocs diffusaient cette fausse version sous le nom de « Kaspersky Free Antivirus » (nous possédions avant un produit avec ce nom, mais il était conçu pour Windows). Dans Google Play, notre antivirus se nomme actuellement Kaspersky Mobile Antivirus: Applock & Web Security.

L’ironie du sort a fait que les utilisateurs qui téléchargeaient la fausse version de notre antivirus recevaient le cheval de Troie bancaire TeaBot, que nos équipements de sécurité détectent sous le nom de HEUR: Trojan-Banker.AndroidOS.Teaban ou HEUR: Trojan-Banker.AndroidOS.Regon.

En quoi est-ce très problématique qu’il s’agisse d’un antivirus ? Eh bien, non seulement l’utilisateur télécharge et installe un cheval de Troie bancaire, mais en plus il lui accorde toutes les autorisations demandées. En effet, un vrai antivirus a besoin de beaucoup d’autorisations pour fonctionner correctement, même des demandes d’accès importantes comme les services Accessibilité.

Et pire encore, si la personne ne possède pas d’antivirus, l’appareil ne peut pas détecter le malware.

En complétant l’installation et en acceptant toutes les autorisations demandées, le cheval de Troie TeaBot peut alors presque tout faire sur l’appareil Android. Il peut par exemple utiliser un keylogger, voler les codes de Google Authenticator et exploiter la fonction Accessibilité de plusieurs façons dans le but de contrôler à distance le dispositif Android.

Comment s’assurer qu’une application est légitime

Teabot ne se fait pas uniquement passer pour un antivirus, mais aussi pour des applications connues comme les apps gouvernementales, financières, de fitness et de lecture de livres, parmi tant d’autres. Pour vous protéger, désactivez l’option Android qui autorise l’installation d’applications téléchargées à partir de sources inconnues. Si vous avez besoin d’une application pour remplir cette fonction, recherchez-la dans la boutique officielle.

Faites très attention aux autorisations que vous octroyez aux applications. Par exemple, si une application fitness vous demande l’autorisation d’accéder à Accessibilité, réfléchissez-y bien avant de répondre.

Pour finir, assurez-vous que vous utilisez un vrai antivirus. Comme nous vous offrons une version entièrement gratuite de Kaspersky Internet Security for Android, rien ne justifie que vous téléchargiez l’application à partir de sources non officielles. Vous pouvez la trouver dans Google Play et dans Huawei AppGallery.

Conseils