50 applications frauduleuses se sont faufilées sur la boutique de Google -- le Play Store. Certaines sont francophones et aurait été téléchargées des centaines de milliers de fois. Elles seraient en mesure de facturer des services inexistants et non demandés à leurs utilisateurs.

Au total, la cinquantaine d’applications frauduleuses trouvées par des chercheurs en sécurité informatique sur le Play Store cumuleraient pas moins de 4 millions de téléchargements. Elles sont désormais bannies de la boutique, mais auraient été en mesure de faire payer à leurs utilisateurs des achats in-app non demandés.

Facturation des victimes

Les apps intégreraient un malware de la famille dite Expensive Wall comme l’ont appelée les chercheurs de CheckPoint. Elles transfèrent, selon la firme d’infosec, discrètement les numéros de téléphone, la géolocalisation et l’IMEI des smartphones à un serveur pirate. Après avoir récupéré les numéros de téléphone de leurs victimes, les applications utilisaient ce dernier pour les inscrire à des services payants par SMS. Les utilisateurs réglaient ensuite les achats non désirés sur leurs factures téléphoniques.

Toute la sophistication de cette famille de malware est de compresser et chiffrer un fichier exécutable avant de soumettre à Google l’application finale. Ainsi, le service Play Store ne détectait pas la supercherie et distribuait les applications. Une fois sur le smartphone, la clef transmise avec l’application déballait le paquet chiffré et permettait l’exécution du logiciel malveillant.

Capture d’écran réalisée par CheckPoint sur une application touchée par ExpensiveWall

Pour CheckPoint, ces applications ont été créées exclusivement pour faire des profits grâce à leurs victimes. Toutefois, la technique d’encapsulage du code malveillant et la faille ouverte par celui-ci pourraient se révéler plus destructrices si les hackeurs avaient cherché à collecter des données sensibles, enregistrer de l’audio, etc. Selon les dires de la firme rapportés dans Ars Technica, même après suppression des apps dans la boutique Google, le malware ne sera stoppé qu’une fois supprimé de tous les smartphones.

L’outil Play Protect de Google qui supprime les malwares détectés n’étant pas compatible avec toutes les versions d’Android, certains smartphones pourraient rester vulnérables encore longtemps. CheckPoint note enfin que le malware de la famille ExpensiveWall est diffusé dans les applications à cause d’un SDK appelé GTK — rien à voir avec le projet libre. Il est de fait impossible de savoir si les développeurs ont sciemment intégré le malware à leurs applications ou s’ils sont des victimes collatérales.

Partager sur les réseaux sociaux