Un nouveau logiciel malveillant se répand sur les smartphones Android, en imitant des applications populaires. Mais le malware ne se diffuse que via des boutiques tierces et non pas sur Google Play.

Les propriétaires d’un smartphone équipé d’Android vont devoir faire preuve de prudence dans les semaines à venir. Leur système d’exploitation fétiche est en effet la cible d’un nouveau logiciel malveillant, détecté cette semaine par la société de sécurité Lookout. Et d’après les constatations de cette dernière, la contamination d’un téléphone, une fois qu’elle a eu lieu, est très difficile à combattre.

Comment l’infection se déroule ?

Tout part en fait des plateformes de téléchargement d’applications tierces, qui sont nettement moins bien contrôlées que les boutiques officielles. L’auteur du malware, bien conscient que certaines applications sont plus désirées que d’autres, a fait en sorte de le faire passer pour des programmes très populaires, comme Facebook, Twitter, Snapchat, WhatsApp et Candy Crush Saga, afin d’accroître ses chances de le répandre.

Trojan Adware Lookout Connexion

Le danger est évident : l’utilisateur croit télécharger la dernière version de son appli favorite mais il récupère en fait un cheval de Troie qui intégrera non seulement des fonctionnalités de l’application légitime, mais aussi tout un pan de code qui servira à attaquer en toute discrétion le mobile de l’utilisateur.

Une fois téléchargé, le malware accède ensuite à la racine du terminal pour s’y cacher et s’y maintenir durablement. Le logiciel malveillant peut alors servir de porte d’accès à d’autres programmes vérolés qui pourront servir à afficher des publicités ou dérober des données personnelles qui serviront ensuite pour mener des campagnes de hameçonnage (phishing) ou pour rançonner des victimes.

20 000 TRACES du malware détectés

Pour l’instant, Lookout explique avoir détecté plus de 20 000 échantillons du malware et de ses variantes (Shedun (ouGhostPush), Shuanet et ShiftyBug (aussi appelé Kemoge)), qui partagent un code source très proche : l’analyse effectuée par l’entreprise révèle une similarité allant de 71 à 82 % en fonction des variantes comparées.

Et une fois sur le terminal, les chances de se débarrasser du cheval de Troie seraient nulles pour un particulier, à lire Lookout :

« Pour les particuliers, être infecté par Shedun, Shuanet et ShiftyBug risque d’être synonyme d’un voyage au centre commercial pour acheter un nouveau téléphone. Parce que ces éléments du malware ont accès à la racine du terminal et s’installent comme des applications du système, ils deviennent pratiquement impossibles à enlever, forçant souvent les victimes à remplacer leur appareil afin de retrouver une situation normale ».

Une infection pratiquement impossible à contrer.

Mais avant d’en arriver là, l’entreprise reconnaît qu’il est toujours possible de passer d’abord par un professionnel (ou un ami très compétent en informatique) pour essayer de nettoyer de fond en comble le smartphone. Car remplacer au pied levé un terminal qui coûte plusieurs centaines d’euros par un autre modèle tout aussi cher n’est pas toujours possible.

La France est, d’après Lookout, plutôt épargnée par le phénomène. Pour le moment. Les pays qui sont en première ligne sont l’Allemagne, le Brésil, les États-Unis, l’Inde, l’Indonésie, l’Iran, la Jamaïque, le Mexique, la Russie et le Soudan.

Nouveauté : Découvrez

La meilleure expérience de Numerama, sans publicité,
+ riche, + zen, + exclusive.

Découvrez Numerama+

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.