{"id":21220,"date":"2023-11-16T16:32:10","date_gmt":"2023-11-16T14:32:10","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=21220"},"modified":"2023-11-16T16:32:10","modified_gmt":"2023-11-16T14:32:10","slug":"malware-in-google-play-2023","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/malware-in-google-play-2023\/21220\/","title":{"rendered":"Plus de 600 millions de programmes malveillants t\u00e9l\u00e9charg\u00e9s en 2023 sur Google Play"},"content":{"rendered":"

Les utilisateurs ont tendance \u00e0 penser qu\u2019ils peuvent installer les applications disponibles sur Google Play sans danger. Apr\u00e8s tout, il s\u2019agit de la plateforme officielle pour Android, et toutes les applications sont soigneusement v\u00e9rifi\u00e9es par les mod\u00e9rateurs de Google, n\u2019est-ce pas ?<\/p>\n

Gardez toutefois \u00e0 l\u2019esprit que Google Play h\u00e9berge plus de trois millions\u00a0d\u2019applications uniques<\/a>, dont la plupart sont mises \u00e0 jour r\u00e9guli\u00e8rement, et que leur examen minutieux, ou m\u00eame tr\u00e8s<\/em> minutieux, d\u00e9passerait les ressources de m\u00eame une des plus grandes entreprises au monde.<\/p>\n

Conscients de ces failles, les concepteurs d\u2019applications malveillantes ont mis au point plusieurs techniques pour introduire discr\u00e8tement leurs cr\u00e9ations sur Google Play. Dans cet article, nous examinons les cas d\u2019applications malveillantes sur la plateforme officielle d\u2019Android qui ont \u00e9t\u00e9 les plus m\u00e9diatis\u00e9es en 2023. Elles totalisent un nombre de t\u00e9l\u00e9chargements d\u00e9passant\u00a0\u2013\u00a0excusez du peu\u00a0\u2013 les 600\u00a0millions. C\u2019est parti\u00a0!<\/p>\n

50\u00a0000\u00a0t\u00e9l\u00e9chargements\u00a0: l\u2019application infect\u00e9e iRecorder \u00e9coute les utilisateurs<\/h2>\n

Commen\u00e7ons par le cas assez mineur, mais assez int\u00e9ressant et tr\u00e8s illustratif d\u2019iRecorder. Cette application de capture d\u2019\u00e9cran banale pour smartphones Android a \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9e sur Google Play en septembre\u00a02021.<\/p>\n

Mais en ao\u00fbt\u00a02022, ses d\u00e9veloppeurs ont ajout\u00e9 une fonctionnalit\u00e9 malveillante\u00a0: le code du cheval de Troie d\u2019acc\u00e8s \u00e0 distance AhMyth, qui amenait tous les smartphones de tous les utilisateurs qui avaient install\u00e9 l\u2019application \u00e0 enregistrer le son du microphone toutes les 15\u00a0minutes et \u00e0 l\u2019envoyer au serveur des cr\u00e9ateurs de l\u2019application. Lorsque des chercheurs ont d\u00e9couvert le programme malveillant<\/a> en mai\u00a02023, l\u2019application iRecorder avait \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9e plus de 50\u00a0000\u00a0fois.<\/p>\n

Cet exemple illustre l\u2019une des fa\u00e7ons dont des applications malveillantes se glissent dans Google Play. Tout d\u2019abord, les cybercriminels mettent en ligne une application inoffensive sur la boutique en ligne, qui ne manquera pas de passer sans probl\u00e8me le contr\u00f4le de mod\u00e9ration. Ensuite, une fois que l\u2019application a d\u00e9velopp\u00e9 une audience et une sorte de r\u00e9putation (ce qui peut prendre des mois, voire des ann\u00e9es), une fonctionnalit\u00e9 malveillante est ajout\u00e9e via une mise \u00e0 jour t\u00e9l\u00e9charg\u00e9e sur Google Play.<\/p>\n

620\u00a0000\u00a0t\u00e9l\u00e9chargements\u00a0: cheval de Troie d\u2019abonnement Fleckpe<\/h2>\n

Toujours en mai\u00a02023, nos experts ont trouv\u00e9 sur Google Play plusieurs applications<\/a> infect\u00e9es par le cheval de Troie d\u2019abonnement Fleckpe. \u00c0 ce moment-l\u00e0, ces applications avaient d\u00e9j\u00e0 \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9es 620\u00a0000\u00a0fois. Il est int\u00e9ressant de noter que ces applications ont \u00e9t\u00e9 mises en ligne par diff\u00e9rents d\u00e9veloppeurs. Et voici une autre tactique courante\u00a0: les cybercriminels cr\u00e9ent plusieurs comptes de d\u00e9veloppeur dans la boutique en ligne. Ainsi, m\u00eame si certains sont bloqu\u00e9s par les mod\u00e9rateurs, ils peuvent simplement t\u00e9l\u00e9charger une application similaire sur un autre compte.<\/p>\n

\"Applications<\/a>

Applications sur Google Play infect\u00e9es par le cheval de Troie d\u2019abonnement Fleckpe<\/p><\/div>\n

\u00a0<\/p>\n

Lors de l\u2019ex\u00e9cution de l\u2019application infect\u00e9e, la principale charge utile malveillante \u00e9tait t\u00e9l\u00e9charg\u00e9e sur le smartphone de la victime. Ensuite, le cheval de Troie se connectait au serveur de commande et de contr\u00f4le, et transf\u00e9rait les informations relatives au pays et \u00e0 l\u2019op\u00e9rateur de t\u00e9l\u00e9phonie mobile. \u00c0 partir de ces informations, le serveur indiquait comment proc\u00e9der. L\u2019application malveillante Fleckpe ouvrait ensuite des pages Internet avec des abonnements payants dans une fen\u00eatre de navigateur invisible pour l\u2019utilisateur et, en interceptant les codes de confirmation figurant dans les notifications entrantes, abonnait l\u2019utilisateur \u00e0 des services inutiles payants via le compte de l\u2019op\u00e9rateur de t\u00e9l\u00e9phonie mobile.<\/p>\n

1,5\u00a0million de t\u00e9l\u00e9chargements\u00a0: logiciels espions chinois<\/h2>\n

En juillet\u00a02023, il s\u2019est av\u00e9r\u00e9 que Google Play h\u00e9bergeait<\/a> deux gestionnaires de fichiers, l\u2019un avec un million de t\u00e9l\u00e9chargements, l\u2019autre avec un demi-million. Malgr\u00e9 les assurances donn\u00e9es par les d\u00e9veloppeurs que les applications ne collectent aucune donn\u00e9e, les chercheurs ont d\u00e9couvert que les deux transmettaient de nombreuses informations sur les utilisateurs \u00e0 des serveurs situ\u00e9s en Chine, y compris les contacts, la g\u00e9olocalisation en temps r\u00e9el, les donn\u00e9es sur le mod\u00e8le du smartphone et le r\u00e9seau cellulaire, les photos, les fichiers audio et vid\u00e9o, et plus encore.<\/p>\n

\"Les<\/a>

Des gestionnaires de fichiers sur Google Play infect\u00e9s par des logiciels espions chinois. Source<\/a><\/p><\/div>\n

\u00a0<\/p>\n

Pour \u00e9viter d\u2019\u00eatre d\u00e9sinstall\u00e9es par l\u2019utilisateur, les applications infect\u00e9es masquaient leurs ic\u00f4nes sur le bureau. C\u2019est une autre tactique couramment utilis\u00e9e par les cr\u00e9ateurs d\u2019applications malveillantes pour appareils mobiles.<\/p>\n

2,5\u00a0millions de t\u00e9l\u00e9chargements\u00a0: un logiciel publicitaire en arri\u00e8re-plan<\/h2>\n

Lors d\u2019un r\u00e9cent cas de d\u00e9tection de programme malveillant sur Google Play en ao\u00fbt\u00a02023, des chercheurs ont trouv\u00e9<\/a> pas moins de 43\u00a0applications \u2013 dont, entre autres, TV\/DMB Player, Music Downloader, Actualit\u00e9s et Calendrier \u2013 qui chargeaient secr\u00e8tement des publicit\u00e9s lorsque l\u2019\u00e9cran du smartphone de l\u2019utilisateur \u00e9tait \u00e9teint.<\/p>\n

\"Les<\/a>

Certaines applications renfermant des logiciels publicitaires cach\u00e9s. Source<\/a><\/p><\/div>\n

\u00a0<\/p>\n

Pour pouvoir fonctionner en arri\u00e8re-plan, les applications demandaient \u00e0 l\u2019utilisateur de les ajouter \u00e0 la liste des exclusions d\u2019\u00e9conomie d\u2019\u00e9nergie. Bien entendu, l\u2019autonomie de la batterie des utilisateurs concern\u00e9s a \u00e9t\u00e9 r\u00e9duite. Ces applications ont totalis\u00e9 2,5\u00a0millions de t\u00e9l\u00e9chargements, et le public cible \u00e9tait principalement cor\u00e9en.<\/p>\n

20\u00a0millions de t\u00e9l\u00e9chargements\u00a0: des applications frauduleuses promettent des r\u00e9compenses<\/h2>\n

Une \u00e9tude publi\u00e9e au d\u00e9but de 2023 a r\u00e9v\u00e9l\u00e9 plusieurs applications \u00e9tranges<\/a> sur Google Play t\u00e9l\u00e9charg\u00e9es plus de 20\u00a0millions de fois. Elles se positionnaient principalement comme un moniteur de sant\u00e9 et promettaient aux utilisateurs des r\u00e9compenses en esp\u00e8ces pour la marche et d\u2019autres activit\u00e9s, ainsi que pour la visualisation de publicit\u00e9s ou l\u2019installation d\u2019autres applications.<\/p>\n

\"Applications<\/a>

Applications sur Google Play promettant des r\u00e9compenses pour la marche et la visualisation d\u2019annonces. Source<\/a><\/p><\/div>\n

\u00a0<\/p>\n

Plus pr\u00e9cis\u00e9ment, pour ces actions, l\u2019utilisateur obtenait des points qui pouvaient ensuite \u00eatre convertis en argent r\u00e9el. Le seul probl\u00e8me \u00e9tait que pour obtenir une r\u00e9compense, il fallait amasser un tel nombre de points que cet objectif \u00e9tait irr\u00e9alisable.<\/p>\n

35\u00a0millions de t\u00e9l\u00e9chargements\u00a0: clones de Minecraft contenant un logiciel publicitaire<\/h2>\n

Cette ann\u00e9e, des jeux malveillants se sont \u00e9galement retrouv\u00e9s sur Google Play, le principal coupable (et pas pour la premi\u00e8re fois<\/a>) \u00e9tant Minecraft, qui reste l\u2019un des titres les plus populaires au monde. En avril\u00a02023, 38\u00a0clones de Minecraft ont \u00e9t\u00e9 d\u00e9tect\u00e9s<\/a> sur la boutique en ligne officielle d\u2019Android, avec un total de 35\u00a0millions de t\u00e9l\u00e9chargements. Un logiciel publicitaire appel\u00e9, \u00e0 juste titre, HiddenAds se cachait \u00e0 l\u2019int\u00e9rieur de ces applications.<\/p>\n

\"Clone<\/a>

Block Box Master Diamond \u2013 le plus populaire des clones de Minecraft infect\u00e9s par HiddenAds. Source<\/a><\/p><\/div>\n

\u00a0<\/p>\n

Au lancement, ces applications infect\u00e9es \u00ab\u00a0affichaient\u00a0\u00bb des publicit\u00e9s cach\u00e9es \u00e0 l\u2019insu de l\u2019utilisateur. Ce logiciel ne constituait pas une menace s\u00e9rieuse, mais un tel comportement pouvait affecter les performances de l\u2019appareil et l\u2019autonomie de la batterie.<\/p>\n

De plus, ces applications infect\u00e9es pouvaient toujours \u00eatre compl\u00e9t\u00e9es plus tard par un syst\u00e8me de mon\u00e9tisation bien moins inoffensif. Il s\u2019agit d\u2019une autre tactique courante des cr\u00e9ateurs d\u2019applications malveillantes pour Android\u00a0: ils basculent volontiers entre diff\u00e9rents types d\u2019activit\u00e9s malveillantes en fonction de ce qui est rentable \u00e0 un moment donn\u00e9.<\/p>\n

100\u00a0millions de t\u00e9l\u00e9chargements\u00a0: collecte de donn\u00e9es et escroquerie au clic<\/h2>\n

Toujours en avril\u00a02023, 60\u00a0autres applications<\/a> infect\u00e9es par un logiciel de publicit\u00e9 que les chercheurs ont surnomm\u00e9 Goldoson ont \u00e9t\u00e9 trouv\u00e9es sur Google Play. Ces applications ont totalis\u00e9 plus de 100\u00a0millions de t\u00e9l\u00e9chargements sur Google Play et 8\u00a0millions de plus sur la populaire boutique cor\u00e9enne ONE<\/a>.<\/p>\n

Ce logiciel malveillant \u00ab\u00a0affichait\u00a0\u00bb \u00e9galement des publicit\u00e9s cach\u00e9es en ouvrant des pages Internet en arri\u00e8re-plan au sein de l\u2019application. De plus, les applications malveillantes collectaient des donn\u00e9es sur les utilisateurs, notamment des informations sur les applications install\u00e9es, la g\u00e9olocalisation, les adresses des appareils connect\u00e9s au smartphone via Wi-Fi et Bluetooth, etc.<\/p>\n

Il semble que le logiciel malveillant Goldoson ait p\u00e9n\u00e9tr\u00e9 toutes ces applications avec une biblioth\u00e8que infect\u00e9e utilis\u00e9e par de nombreux d\u00e9veloppeurs honn\u00eates qui ignoraient tout simplement qu\u2019elle contenait des fonctionnalit\u00e9s malveillantes. Et cela n\u2019est pas rare\u00a0: bien souvent, les cr\u00e9ateurs de programmes malveillants ne d\u00e9veloppent et ne publient pas eux-m\u00eames des applications sur Google Play, mais cr\u00e9ent des biblioth\u00e8ques infect\u00e9es de ce type qui finissent dans la boutique en ligne gr\u00e2ce aux applications d\u2019autres d\u00e9veloppeurs.<\/p>\n

451\u00a0millions de t\u00e9l\u00e9chargements\u00a0: publicit\u00e9s de mini-jeux et collecte de donn\u00e9es<\/h2>\n

Nous terminons avec le cas le plus important de l\u2019ann\u00e9e\u00a0: en mai\u00a02023, une \u00e9quipe de chercheurs a d\u00e9couvert<\/a> 101\u00a0applications non autoris\u00e9es sur Google Play, totalisant 421\u00a0millions de t\u00e9l\u00e9chargements. Chacune d\u2019entre elles renfermait une biblioth\u00e8que de code SpinOk.<\/p>\n

Peu de temps apr\u00e8s, une autre \u00e9quipe de chercheurs a d\u00e9couvert 92\u00a0autres applications <\/a>sur Google Play incluant la m\u00eame biblioth\u00e8que SpinOk, avec un nombre un peu plus modeste de t\u00e9l\u00e9chargements \u2013 30\u00a0millions. Au total, pr\u00e8s de 200\u00a0applications contenant du code SpinOK ont \u00e9t\u00e9 d\u00e9couvertes, pour un total de 451\u00a0millions de t\u00e9l\u00e9chargements sur Google Play.Il s\u2019agit d\u2019un autre cas o\u00f9 un code dangereux a \u00e9t\u00e9 introduit dans des applications \u00e0 partir d\u2019une biblioth\u00e8que tierce.<\/p>\n

\"Mini-jeux<\/a>

Mini-jeux promettant des \u00ab\u00a0r\u00e9compenses\u00a0\u00bb et pr\u00e9sentant aux utilisateurs des applications contenant le code SpinOk Source<\/a><\/p><\/div>\n

\u00a0<\/p>\n

\u00c0 premi\u00e8re vue, les applications pr\u00e9sentaient des mini-jeux intrusifs promettant des r\u00e9compenses en argent. Mais ce n\u2019est pas tout\u00a0: la biblioth\u00e8que SpinOK \u00e9tait en mesure de collecter et d\u2019envoyer en arri\u00e8re-plan des donn\u00e9es et des fichiers d\u2019utilisateurs au serveur de commande et de contr\u00f4le de ses d\u00e9veloppeurs.<\/p>\n

Comment se pr\u00e9munir contre les programmes malveillants sur Google Play<\/h2>\n

Bien entendu, nous n\u2019avons pas abord\u00e9 tous les cas d\u2019application malveillante sur Google Play en 2023, mais uniquement les plus marquants. Le principal point \u00e0 retenir de cet article est le suivant\u00a0: les logiciels malveillants sur Google Play sont bien plus courants qu\u2019on ne pourrait le penser. Les applications infect\u00e9es totalisent plus d\u2019un demi-milliard de t\u00e9l\u00e9chargements\u00a0!<\/p>\n

N\u00e9anmoins, les boutiques en ligne officielles restent de loin les sources les plus s\u00fbres. T\u00e9l\u00e9charger des applications ailleurs est bien plus dangereux, c\u2019est pourquoi nous vous le d\u00e9conseillons fortement<\/a>. N\u00e9anmoins, il faut aussi faire preuve de prudence sur les plateformes officielles\u00a0:<\/p>\n