Posté le juillet 5, 2021 à 20:46
GOOGLE A RETIRÉ DE SA BOUTIQUE 9 APPLICATIONS AYANT FAIT L’OBJET DE MILLIONS DE TÉLÉCHARGEMENTS
Google LLC a supprimé neuf applications Android dont on a découvert qu’elles volaient les données de connexion Facebook des utilisateurs.
Ces applications, dont l’une compte des millions de téléchargements, ont été découvertes le 1er juillet par des analystes de logiciels malveillants de Dr Web.
Ils sont appelés « chevaux de Troie voleurs » et ont été distribués comme des logiciels sûrs. Mais, selon les analystes, ces applications n’ont rien de sûr, car elles contiennent des logiciels malveillants.
Toutes les applications offraient un service légitime
Les autres applications découvertes dans le passé ne fournissent aucun service tangible aux utilisateurs. Elles sont simplement utilisées pour inciter les utilisateurs à les télécharger et à installer sans le savoir le logiciel malveillant sur leur système.
Mais dans ce cas, les applications récemment découvertes offrent des services légitimes tels que la suppression de fichiers indésirables, des horoscopes, des entraînements et des exercices, la retouche de photos et d’autres services.
Parmi les applications concernées, citons PIP Photo, qui compte environ 5 millions d’installations, ainsi que Inwell Fitness et Horoscope Daily, qui comptent environ 100 000 installations.
Les utilisateurs ont été invités à se connecter à leur compte Facebook pour désactiver l’application.
Selon les analystes, les publicités de certaines applications étaient destinées à inciter les propriétaires d’appareils Android à effectuer les actions requises.
Les propriétaires de l’application ont mis en place de telles fonctionnalités pour convaincre les utilisateurs d’Android de télécharger l’application, en pensant qu’elle offre un service authentique. Mais en réalité, l’objectif principal de l’application est d’implanter des logiciels malveillants dans les appareils Android des utilisateurs.
Lorsque les utilisateurs de l’application choisissent l’option de désactivation de l’application, ils voient apparaître une page de connexion Facebook standard où ils sont invités à saisir leurs informations de connexion. La page de connexion est affichée en WebView ainsi qu’en JavaScript pour voler le mot de passe saisi.
Tout utilisateur qui saisit le mot de passe voit son compte exposé, car les propriétaires de l’application utilisent JavaScript pour transmettre les détails au serveur de commande et de contrôle de l’utilisateur.
Une fois que l’utilisateur s’est connecté à son compte, le logiciel malveillant vole également les cookies des sessions d’autorisation qui sont encore ouvertes.
Les acteurs malveillants peuvent cibler des utilisateurs sur d’autres plateformes
Les acteurs malveillants derrière l’application malveillante se sont concentrés sur les comptes Facebook, mais ils peuvent toujours cibler d’autres utilisateurs sur d’autres plateformes.
Ils auraient pu facilement modifier la configuration du cheval de Troie et le repositionner pour charger la page web d’une autre plateforme.
Ils peuvent également avoir appliqué un formulaire de connexion entièrement faux à partir d’un site de phishing, ce qui rendra le cheval de Troie capable de voler des identifiants de connexion à partir de n’importe quelle source, ont souligné les analystes.
Google n’a pas encore fait de déclaration publique concernant l’expulsion des applications. Mais un porte-parole de Google a déclaré qu’en plus de retirer les applications de la boutique, elles ont été complètement interdites.
Selon les analystes, ces neuf applications ont été téléchargées plus de 5,8 millions de fois sur Google Play.
PIP Photo est l’application la plus populaire parmi les neuf supprimées. Elle compte plus de 5 millions de téléchargements. Vient ensuite Processing Photo, avec plus de 500 000 téléchargements.
Les autres applications sont HoroScope Pi, App Lock Keep, Horoscope Daily, Lockit Master et App Lock Manager.
L’analyse des chevaux de Troie a révélé qu’ils disposent tous d’un paramètre permettant de voler les données de connexion lorsque les utilisateurs saisissent leurs données de connexion.
Les utilisateurs doivent être prudents lorsqu’ils téléchargent de nouvelles applications
Cinq variantes de logiciels malveillants ont été découvertes au cours de cette recherche. Cependant, elles utilisaient toutes le même format de fichier de configuration et de code JavaScript pour voler des informations.
Google a déclaré avoir banni tous les développeurs d’applications de la boutique, mais les acteurs de la menace pouvaient toujours créer un nouveau compte de développeur pour avoir accès à l’application. Par conséquent, le géant des médias sociaux devra peut-être faire procéder à un dépistage des logiciels malveillants afin de protéger les utilisateurs contre la menace des mauvais acteurs.
Cependant, ce qui dérange les chercheurs en sécurité, c’est la façon dont les applications ont pu obtenir un nombre considérable de téléchargements avant que Google ne les découvre. Google a peut-être procédé à un dépistage des logiciels malveillants, ce qui a permis d’en éliminer un grand nombre. Cependant, certains parviennent encore à passer le test de dépistage et à se défendre. Compte tenu de ces problèmes, il a été conseillé aux utilisateurs d’être prudents lorsqu’ils téléchargent un utilitaire provenant de développeurs largement inconnus, même s’ils ont ratissé un grand nombre d’utilisateurs.