{"id":16732,"date":"2021-04-12T13:52:05","date_gmt":"2021-04-12T13:52:05","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=16732"},"modified":"2021-09-17T18:53:32","modified_gmt":"2021-09-17T16:53:32","slug":"infected-apkpure","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/infected-apkpure\/16732\/","title":{"rendered":"L’App Store d’Android infect\u00e9"},"content":{"rendered":"

Nous recommandons toujours de ne t\u00e9l\u00e9charger les applications qu\u2019\u00e0 partir des boutiques officielles<\/a> afin de r\u00e9duire le risque d\u2019installer un logiciel malveillant par accident. Non seulement les boutiques non officielles contiennent des applications malveillantes, mais il est aussi tr\u00e8s probable qu\u2019elles soient dangereuses. D\u2019apr\u00e8s une enqu\u00eate<\/a> men\u00e9e r\u00e9cemment, nous avons le regret de vous annoncer qu\u2019APKPure, un magasin alternatif d\u2019applications pour Android, a \u00e9t\u00e9 infect\u00e9 par un cheval de Troie et en a install\u00e9 d\u2019autres.<\/p>\n

\u00c0 quoi sert APKPure ?<\/h2>\n

L\u2019App Store officiel Android est bien entendu Google Play, mais il n\u2019est disponible que sur les appareils qui utilisent les services Google Mobile (GMS) et qui sont fermement li\u00e9s \u00e0 l\u2019infrastructure de Google. Certains vendeurs \u00e9vitent les biblioth\u00e8ques GMS afin de rester ind\u00e9pendants, ce qui est possible car Android est un syst\u00e8me d\u2019exploitation libre.<\/p>\n

Pour les utilisateurs, cela pr\u00e9sente \u00e0 la fois des avantages et des inconv\u00e9nients. L\u2019un des plus gros inconv\u00e9nients est la perte d\u2019acc\u00e8s au Play Store de Google, o\u00f9 les utilisateurs d\u2019Android peuvent t\u00e9l\u00e9charger les applications.<\/p>\n

C\u2019est ici qu\u2019interviennent les boutiques alternatives, dont APKPure. \u00c0 la diff\u00e9rence que ce dernier ne propose que des applications freeware (libre) ou shareware (partagiciel). De plus, les cr\u00e9ateurs assurent<\/a> que les applications disponibles dans la boutique ont toutes \u00e9t\u00e9 scann\u00e9es par Google et qu\u2019elles sont toutes sans danger. Selon eux, leurs applications son exactement les m\u00eames que celles que l\u2019on trouve dans Google Play.<\/p>\n

Que s\u2019est-il pass\u00e9 avec APKPure ?<\/h2>\n

Les applications du magasin ont peut-\u00eatre pass\u00e9 les tests, mais APKPure non. Cet incident rappelle l\u2019histoire avec CamScanner<\/a>, une application dont les d\u00e9veloppeurs ont install\u00e9 un SDK<\/a> publicitaire \u00e0 partir d\u2019une source non v\u00e9rifi\u00e9e et qui s\u2019est av\u00e9r\u00e9e \u00eatre malveillante. Le malware s\u2019est ins\u00e9r\u00e9 dans APKPure de la m\u00eame fa\u00e7on.<\/p>\n

Il semblerait que la version 3.17.18 d\u2019APKPure avait elle aussi un SDK publicitaire avec un Trojan dropper<\/a> int\u00e9gr\u00e9 que les solutions de s\u00e9curit\u00e9 de Kaspersky d\u00e9tectent comme HEUR:Trojan-Dropper.AndroidOS.Triada.ap. Lorsqu\u2019il est activ\u00e9, il installe et ex\u00e9cute une charge<\/a> utile, qui est la partie la plus dangereuse. Cette derni\u00e8re peut faire beaucoup de choses\u00a0: afficher des publicit\u00e9s lorsque l\u2019\u00e9cran est verrouill\u00e9, ouvrir des onglets de navigation, collecter des informations \u00e0 propos de l\u2019appareil, et le plus d\u00e9sagr\u00e9able, installer un autre malware.<\/p>\n

Qu\u2019arrive-t-il \u00e0 un appareil qui poss\u00e8de APKPure ?<\/h2>\n

Le type de cheval de Troie (en plus de celui int\u00e9gr\u00e9 dans APKPure) qui est t\u00e9l\u00e9charg\u00e9 d\u00e9pend de la version Android ainsi que de la fr\u00e9quence \u00e0 laquelle le vendeur du smartphone propose des mises \u00e0 jour de s\u00e9curit\u00e9 et \u00e0 quelle fr\u00e9quence l\u2019utilisateur les installe.<\/p>\n

Si ce dernier poss\u00e8de une version assez r\u00e9cente du syst\u00e8me d\u2019exploitation, c\u2019est-\u00e0-dire Android 8 ou une plus r\u00e9cente qui ne distribue pas des autorisations root<\/a> \u00e0 tout bout de champ, alors des modules suppl\u00e9mentaires sont t\u00e9l\u00e9charg\u00e9s pour le cheval de Troie Triada<\/a>. Ces derniers peuvent, entre autres, acheter un abonnement premium et t\u00e9l\u00e9charger des malwares.<\/p>\n

Si l\u2019appareil est plus ancien, sous Android 6 ou 7, et que les mises \u00e0 jour de s\u00e9curit\u00e9 (parfois indisponibles) n\u2019ont pas \u00e9t\u00e9 install\u00e9es, il devient alors plus facile \u00e0 rooter et il peut s\u2019agir du xHelper Trojan<\/a>. Supprimer ce monstre est un v\u00e9ritable d\u00e9fi car m\u00eame une r\u00e9initialisation d\u2019usine n\u2019y changera rien. Disposant d\u2019un acc\u00e8s root, xHelper permet aux cybercriminels de faire tout ce qu\u2019ils veulent.<\/p>\n

APKPure est-il d\u00e9sormais sans danger ?<\/h2>\n

Le 8 avril, nous avons inform\u00e9 APKPure du probl\u00e8me. Le 9 avril, les repr\u00e9sentants de l\u2019App Store ont r\u00e9pondu qu\u2019ils \u00e9taient au courant et qu\u2019ils travaillaient sur un correctif. Peu apr\u00e8s, le site d\u2019APKPure affichait une nouvelle version (3.17.19). Selon leur commentaire<\/a>, la mise \u00e0 jour \u00ab\u00a0a corrig\u00e9 un probl\u00e8me de s\u00e9curit\u00e9 potentiel, rendant l\u2019utilisation d\u2019APKPure plus s\u00fbre\u00a0\u00bb.<\/p>\n

En effet, nous pouvons confirmer que le probl\u00e8me a \u00e9t\u00e9 r\u00e9gl\u00e9\u00a0: la nouvelle version d\u2019APKPure 3.17.19 est exempte de ce module malveillant. L\u2019utilisation est sans danger.<\/p>\n

Comment \u00e9viter les chevaux de Troie dans APKPure<\/h2>\n

Si vous n\u2019utilisez pas APKPure, inutile de vous inqui\u00e9ter\u00a0: ce probl\u00e8me ne vous concerne pas. Mais pour \u00e9viter ce genre de probl\u00e8mes dans le futur\u00a0:<\/p>\n