{"id":12310,"date":"2019-09-13T09:04:04","date_gmt":"2019-09-13T09:04:04","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=12310"},"modified":"2020-05-07T17:43:10","modified_gmt":"2020-05-07T17:43:10","slug":"google-play-malware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/google-play-malware\/12310\/","title":{"rendered":"Toutes les applications sur Google Play sont s\u00fbres : Info ou intox ?"},"content":{"rendered":"

Nous recommandons toujours de t\u00e9l\u00e9charger les applications Android depuis les boutiques officielles et nulle part ailleurs. Mais cela ne veut pas dire qu\u2019il n\u2019y a pas de virus dans Google Play. Cependant, il est vrai que vous en trouverez moins dans la boutique officielle que sur les sites tiers, et qu\u2019ils sont r\u00e9guli\u00e8rement supprim\u00e9s.<\/p>\n

Comment Google surveille la s\u00e9curit\u00e9 des applications Android ?<\/strong><\/p>\n

Ce n\u2019est pas une mince affaire pour les logiciels malveillants d\u2019entrer dans Google Play. Avant de publier une application, les mod\u00e9rateurs s\u2019assurent qu\u2019elle est conforme \u00e0 une longue liste d\u2019exigences<\/a>. S\u2019ils constatent une infraction, ils bannissent le programme de la boutique.<\/p>\n

Cependant, Google Play re\u00e7oit un tel nombre de nouvelles applications et de mises \u00e0 jour d\u2019applications d\u00e9j\u00e0 existantes que les mod\u00e9rateurs ne peuvent pas tout contr\u00f4ler. Donc, de temps en temps, des applications malveillantes s\u2019introduisent. Voici quelques-uns des incidents les plus frappants.<\/p>\n

Scanner \u00e0 double usage<\/h3>\n

Nos chercheurs ont r\u00e9cemment d\u00e9tect\u00e9 un code malveillant dans l\u2019application CamScanner<\/a> utilis\u00e9e pour num\u00e9riser des documents. Non seulement l\u2019application \u00e9tait disponible sur Google Play mais aurait \u00e9t\u00e9 install\u00e9e par plus de 100 millions d\u2019utilisateurs.<\/p>\n

Que s\u2019est-il pass\u00e9 ? Eh bien, jusqu\u2019\u00e0 un certain point, CamScanner \u00e9tait une application normale qui ne faisait qu\u2019ex\u00e9cuter les fonctions pour lesquelles elle \u00e9tait programm\u00e9e. Ses d\u00e9veloppeurs tiraient des revenus de la publicit\u00e9 et des fonctions payantes\u00a0; rien d\u2019inhabituel pour l\u2019instant. Mais cela a chang\u00e9 lorsqu\u2019une fonctionnalit\u00e9 malveillante a \u00e9t\u00e9 ajout\u00e9e \u00e0 l\u2019application.<\/p>\n

Un logiciel malveillant, sous la forme du Trojan-Dropper<\/a> Necro.n, s\u2019est gliss\u00e9 dans l\u2019un des modules publicitaires et a install\u00e9 un autre cheval de Troie qui s\u2019occupe de t\u00e9l\u00e9charger d\u2019autres infections sur l\u2019appareil. Il s\u2019agit notamment d\u2019applications publicitaires<\/a> et de programmes qui s\u2019abonnent \u00e0 des services payants sans que l\u2019utilisateur ne le sache.<\/p>\n

Nos experts ont communiqu\u00e9 cette d\u00e9couverte \u00e0 Google, dont les administrateurs ont retir\u00e9 l\u2019application de la boutique. Les d\u00e9veloppeurs de CamScanner ont rapidement supprim\u00e9 les modules malveillants de l\u2019application pour la remettre en ligne. Cependant, la version infect\u00e9e \u00e9tait disponible au t\u00e9l\u00e9chargement depuis un certain temps d\u00e9j\u00e0.<\/p>\n\n

Lecteur voleur<\/h3>\n

CamScanner n\u2019est en aucun cas le seul exemple d\u2019application qui a vu appara\u00eetre des fonctionnalit\u00e9s malveillantes alors qu\u2019elles \u00e9taient disponibles dans la boutique Google Play. Les cr\u00e9ateurs du cheval de Troie qui se faisait passer pour un lecteur permettant d\u2019\u00e9couter de la musique sur VKontakte (VK) ont r\u00e9ussi \u00e0 passer entre les mailles du filet des mod\u00e9rateurs de la m\u00eame mani\u00e8re pendant plusieurs ann\u00e9es.<\/p>\n

Une version propre a d\u2019abord \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9e sur Google Play, suivie de quelques mises \u00e0 jour inoffensives. Mais apr\u00e8s quelques mises \u00e0 jour, l\u2019application a commenc\u00e9 \u00e0 voler les identifiants et les mots de passe des comptes VK. De plus, les victimes n\u2019en savaient probablement rien et leurs comptes ont \u00e9t\u00e9 furtivement utilis\u00e9s pour promouvoir les groupes VK.<\/p>\n

Lorsque la version mise \u00e0 jour du lecteur a \u00e9t\u00e9 d\u00e9masqu\u00e9e et supprim\u00e9e de la boutique, ses cr\u00e9ateurs en ont imm\u00e9diatement t\u00e9l\u00e9charg\u00e9 une nouvelle (en fait, plusieurs). En 2015, pas moins de sept versions diff\u00e9rentes du programme malveillant ont \u00e9t\u00e9 supprim\u00e9es de Google Play<\/a>. Puis d\u2019autres en 2016. En analysant une p\u00e9riode de deux mois en 2017, nos analystes ont compt\u00e9 85 applications de la sorte<\/a> sur Google Play, dont une avait \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9e plus d\u2019un million de fois. De plus, la boutique proposait aussi de fausses versions de Telegram des m\u00eames auteurs. Ces applications ne volaient pas les mots de passe, mais elles ajoutaient la victime \u00e0 des groupes et \u00e0 des chats pr\u00e9sentant un int\u00e9r\u00eat pour les cybercriminels.<\/p>\n

Une arm\u00e9e malveillante sur Google Play<\/h3>\n

H\u00e9las, ce n\u2019est pas tout. Apr\u00e8s avoir rep\u00e9r\u00e9 85 copies d\u2019une application malveillante, les experts ont trouv\u00e9 en 2016 pas moins de 400 jeux et autres programmes<\/a> sur Google Play infect\u00e9s par le cheval de Troie DressCode.<\/p>\n

Une fois install\u00e9 sur l\u2019appareil de la victime, le logiciel malveillant \u00e9tablit une connexion avec le serveur de commande et de contr\u00f4le, puis \u00ab\u00a0s\u2019endort\u00a0\u00bb. Plus tard, les cybercriminels peuvent utiliser ces gadgets dormants et infect\u00e9s pour commettre des attaques DDoS, gonfler les clics sur les banni\u00e8res publicitaires ou infiltrer les r\u00e9seaux locaux auxquels ils sont connect\u00e9s, comme un r\u00e9seau domestique ou l\u2019infrastructure d\u2019une entreprise.<\/p>\n

En toute honn\u00eatet\u00e9, il est difficile de bl\u00e2mer les mod\u00e9rateurs de Google Play ; DressCode n\u2019est pas facile \u00e0 d\u00e9tecter. Son code est si petit qu\u2019il se perd dans celui de l\u2019application m\u00e9dia. En outre, le nombre de programmes infect\u00e9s d\u00e9tect\u00e9s sur des sites tiers \u00e9tait nettement plus \u00e9lev\u00e9 que sur Google Play. Au total, les chercheurs ont trouv\u00e9 environ 3 000 jeux, interfaces et applications de nettoyage pour smartphones contenant le cheval de Troie DressCode. Pourtant, 400, c\u2019est encore \u00e9norme.<\/p>\n

Comment ne pas \u00eatre infect\u00e9 par un logiciel malveillant sur Google Play ?<\/h2>\n

Comme vous pouvez le constater, le simple fait qu\u2019une application soit entr\u00e9e dans la boutique officielle d\u2019Android ne la rend pas inoffensive. Parfois, des logiciels malveillants parviennent \u00e0 se faufiler. Pour \u00e9viter une infection, m\u00e9fiez-vous de tous les programmes, y compris ceux de Google Play, et suivez plusieurs r\u00e8gles d\u2019hygi\u00e8ne num\u00e9rique.<\/p>\n