Plus de 600 millions de programmes malveillants téléchargés en 2023 sur Google Play

Les utilisateurs ont tendance à penser qu’ils peuvent installer les applications disponibles sur Google Play sans danger. Après tout, il s’agit de la plateforme officielle pour Android, et toutes les applications sont soigneusement vérifiées par les modérateurs de Google, n’est-ce pas ?

Gardez toutefois à l’esprit que Google Play héberge plus de trois millions d’applications uniques, dont la plupart sont mises à jour régulièrement, et que leur examen minutieux, ou même très minutieux, dépasserait les ressources de même une des plus grandes entreprises au monde.

Conscients de ces failles, les concepteurs d’applications malveillantes ont mis au point plusieurs techniques pour introduire discrètement leurs créations sur Google Play. Dans cet article, nous examinons les cas d’applications malveillantes sur la plateforme officielle d’Android qui ont été les plus médiatisées en 2023. Elles totalisent un nombre de téléchargements dépassant – excusez du peu – les 600 millions. C’est parti !

50 000 téléchargements : l’application infectée iRecorder écoute les utilisateurs

Commençons par le cas assez mineur, mais assez intéressant et très illustratif d’iRecorder. Cette application de capture d’écran banale pour smartphones Android a été téléchargée sur Google Play en septembre 2021.

Mais en août 2022, ses développeurs ont ajouté une fonctionnalité malveillante : le code du cheval de Troie d’accès à distance AhMyth, qui amenait tous les smartphones de tous les utilisateurs qui avaient installé l’application à enregistrer le son du microphone toutes les 15 minutes et à l’envoyer au serveur des créateurs de l’application. Lorsque des chercheurs ont découvert le programme malveillant en mai 2023, l’application iRecorder avait été téléchargée plus de 50 000 fois.

Cet exemple illustre l’une des façons dont des applications malveillantes se glissent dans Google Play. Tout d’abord, les cybercriminels mettent en ligne une application inoffensive sur la boutique en ligne, qui ne manquera pas de passer sans problème le contrôle de modération. Ensuite, une fois que l’application a développé une audience et une sorte de réputation (ce qui peut prendre des mois, voire des années), une fonctionnalité malveillante est ajoutée via une mise à jour téléchargée sur Google Play.

620 000 téléchargements : cheval de Troie d’abonnement Fleckpe

Toujours en mai 2023, nos experts ont trouvé sur Google Play plusieurs applications infectées par le cheval de Troie d’abonnement Fleckpe. À ce moment-là, ces applications avaient déjà été téléchargées 620 000 fois. Il est intéressant de noter que ces applications ont été mises en ligne par différents développeurs. Et voici une autre tactique courante : les cybercriminels créent plusieurs comptes de développeur dans la boutique en ligne. Ainsi, même si certains sont bloqués par les modérateurs, ils peuvent simplement télécharger une application similaire sur un autre compte.

Applications sur Google Play infectées par le cheval de Troie d’abonnement Fleckpe

Lors de l’exécution de l’application infectée, la principale charge utile malveillante était téléchargée sur le smartphone de la victime. Ensuite, le cheval de Troie se connectait au serveur de commande et de contrôle, et transférait les informations relatives au pays et à l’opérateur de téléphonie mobile. À partir de ces informations, le serveur indiquait comment procéder. L’application malveillante Fleckpe ouvrait ensuite des pages Internet avec des abonnements payants dans une fenêtre de navigateur invisible pour l’utilisateur et, en interceptant les codes de confirmation figurant dans les notifications entrantes, abonnait l’utilisateur à des services inutiles payants via le compte de l’opérateur de téléphonie mobile.

1,5 million de téléchargements : logiciels espions chinois

En juillet 2023, il s’est avéré que Google Play hébergeait deux gestionnaires de fichiers, l’un avec un million de téléchargements, l’autre avec un demi-million. Malgré les assurances données par les développeurs que les applications ne collectent aucune donnée, les chercheurs ont découvert que les deux transmettaient de nombreuses informations sur les utilisateurs à des serveurs situés en Chine, y compris les contacts, la géolocalisation en temps réel, les données sur le modèle du smartphone et le réseau cellulaire, les photos, les fichiers audio et vidéo, et plus encore.

Des gestionnaires de fichiers sur Google Play infectés par des logiciels espions chinois. Source

Pour éviter d’être désinstallées par l’utilisateur, les applications infectées masquaient leurs icônes sur le bureau. C’est une autre tactique couramment utilisée par les créateurs d’applications malveillantes pour appareils mobiles.

2,5 millions de téléchargements : un logiciel publicitaire en arrière-plan

Lors d’un récent cas de détection de programme malveillant sur Google Play en août 2023, des chercheurs ont trouvé pas moins de 43 applications – dont, entre autres, TV/DMB Player, Music Downloader, Actualités et Calendrier – qui chargeaient secrètement des publicités lorsque l’écran du smartphone de l’utilisateur était éteint.

Certaines applications renfermant des logiciels publicitaires cachés. Source

Pour pouvoir fonctionner en arrière-plan, les applications demandaient à l’utilisateur de les ajouter à la liste des exclusions d’économie d’énergie. Bien entendu, l’autonomie de la batterie des utilisateurs concernés a été réduite. Ces applications ont totalisé 2,5 millions de téléchargements, et le public cible était principalement coréen.

20 millions de téléchargements : des applications frauduleuses promettent des récompenses

Une étude publiée au début de 2023 a révélé plusieurs applications étranges sur Google Play téléchargées plus de 20 millions de fois. Elles se positionnaient principalement comme un moniteur de santé et promettaient aux utilisateurs des récompenses en espèces pour la marche et d’autres activités, ainsi que pour la visualisation de publicités ou l’installation d’autres applications.

Applications sur Google Play promettant des récompenses pour la marche et la visualisation d’annonces. Source

Plus précisément, pour ces actions, l’utilisateur obtenait des points qui pouvaient ensuite être convertis en argent réel. Le seul problème était que pour obtenir une récompense, il fallait amasser un tel nombre de points que cet objectif était irréalisable.

35 millions de téléchargements : clones de Minecraft contenant un logiciel publicitaire

Cette année, des jeux malveillants se sont également retrouvés sur Google Play, le principal coupable (et pas pour la première fois) étant Minecraft, qui reste l’un des titres les plus populaires au monde. En avril 2023, 38 clones de Minecraft ont été détectés sur la boutique en ligne officielle d’Android, avec un total de 35 millions de téléchargements. Un logiciel publicitaire appelé, à juste titre, HiddenAds se cachait à l’intérieur de ces applications.

Block Box Master Diamond – le plus populaire des clones de Minecraft infectés par HiddenAds. Source

Au lancement, ces applications infectées « affichaient » des publicités cachées à l’insu de l’utilisateur. Ce logiciel ne constituait pas une menace sérieuse, mais un tel comportement pouvait affecter les performances de l’appareil et l’autonomie de la batterie.

De plus, ces applications infectées pouvaient toujours être complétées plus tard par un système de monétisation bien moins inoffensif. Il s’agit d’une autre tactique courante des créateurs d’applications malveillantes pour Android : ils basculent volontiers entre différents types d’activités malveillantes en fonction de ce qui est rentable à un moment donné.

100 millions de téléchargements : collecte de données et escroquerie au clic

Toujours en avril 2023, 60 autres applications infectées par un logiciel de publicité que les chercheurs ont surnommé Goldoson ont été trouvées sur Google Play. Ces applications ont totalisé plus de 100 millions de téléchargements sur Google Play et 8 millions de plus sur la populaire boutique coréenne ONE.

Ce logiciel malveillant « affichait » également des publicités cachées en ouvrant des pages Internet en arrière-plan au sein de l’application. De plus, les applications malveillantes collectaient des données sur les utilisateurs, notamment des informations sur les applications installées, la géolocalisation, les adresses des appareils connectés au smartphone via Wi-Fi et Bluetooth, etc.

Il semble que le logiciel malveillant Goldoson ait pénétré toutes ces applications avec une bibliothèque infectée utilisée par de nombreux développeurs honnêtes qui ignoraient tout simplement qu’elle contenait des fonctionnalités malveillantes. Et cela n’est pas rare : bien souvent, les créateurs de programmes malveillants ne développent et ne publient pas eux-mêmes des applications sur Google Play, mais créent des bibliothèques infectées de ce type qui finissent dans la boutique en ligne grâce aux applications d’autres développeurs.

451 millions de téléchargements : publicités de mini-jeux et collecte de données

Nous terminons avec le cas le plus important de l’année : en mai 2023, une équipe de chercheurs a découvert 101 applications non autorisées sur Google Play, totalisant 421 millions de téléchargements. Chacune d’entre elles renfermait une bibliothèque de code SpinOk.

Peu de temps après, une autre équipe de chercheurs a découvert 92 autres applications sur Google Play incluant la même bibliothèque SpinOk, avec un nombre un peu plus modeste de téléchargements – 30 millions. Au total, près de 200 applications contenant du code SpinOK ont été découvertes, pour un total de 451 millions de téléchargements sur Google Play.Il s’agit d’un autre cas où un code dangereux a été introduit dans des applications à partir d’une bibliothèque tierce.

Mini-jeux promettant des « récompenses » et présentant aux utilisateurs des applications contenant le code SpinOk Source

À première vue, les applications présentaient des mini-jeux intrusifs promettant des récompenses en argent. Mais ce n’est pas tout : la bibliothèque SpinOK était en mesure de collecter et d’envoyer en arrière-plan des données et des fichiers d’utilisateurs au serveur de commande et de contrôle de ses développeurs.

Comment se prémunir contre les programmes malveillants sur Google Play

Bien entendu, nous n’avons pas abordé tous les cas d’application malveillante sur Google Play en 2023, mais uniquement les plus marquants. Le principal point à retenir de cet article est le suivant : les logiciels malveillants sur Google Play sont bien plus courants qu’on ne pourrait le penser. Les applications infectées totalisent plus d’un demi-milliard de téléchargements !

Néanmoins, les boutiques en ligne officielles restent de loin les sources les plus sûres. Télécharger des applications ailleurs est bien plus dangereux, c’est pourquoi nous vous le déconseillons fortement. Néanmoins, il faut aussi faire preuve de prudence sur les plateformes officielles :

• Chaque fois que vous téléchargez une nouvelle application, vérifiez soigneusement sa page sur Google Play pour vous assurer qu’elle est authentique. Portez une attention particulière au nom du développeur. Il n’est pas rare que des cybercriminels clonent des applications populaires et les publient sur Google Play sous des noms, des icônes et des descriptions similaires pour attirer les utilisateurs.
• Ne vous fiez pas à la note globale de l’application, qui peut facilement être gonflée. Les avis élogieux sont également faciles à simuler. Concentrez-vous plutôt sur les avis négatifs accompagnés de mauvaises notes : vous pourrez généralement y trouver une description de tous les problèmes relatifs à l’application.
• Assurez-vous d’installer une protection fiable sur tous vos appareils Android qui vous avertira si un cheval de Troie tente de s’introduire dans votre smartphone ou votre tablette.
• Dans la version gratuite de notre application Kaspersky for Android, pensez à lancer manuellement une analyse des appareils de temps à autre et veillez à effectuer une analyse antivirus après l’installation d’une nouvelle application et avant son premier lancement.
• Dans la version payante de notre suite de protection, qui est d’ailleurs incluse dans l’abonnement Kaspersky Standard, Kaspersky Plus ou Kaspersky Premium, l’analyse est effectuée automatiquement, ce qui vous protège des applications infectées.