50 applications frauduleuses se sont faufilées sur la boutique de Google — le Play Store. Certaines sont francophones et aurait été téléchargées des centaines de milliers de fois. Elles seraient en mesure de facturer des services inexistants et non demandés à leurs utilisateurs.

Au total, la cinquantaine d’applications frauduleuses trouvées par des chercheurs en sécurité informatique sur le Play Store cumuleraient pas moins de 4 millions de téléchargements. Elles sont désormais bannies de la boutique, mais auraient été en mesure de faire payer à leurs utilisateurs des achats in-app non demandés.

Facturation des victimes

Les apps intégreraient un malware de la famille dite Expensive Wall comme l’ont appelée les chercheurs de CheckPoint. Elles transfèrent, selon la firme d’infosec, discrètement les numéros de téléphone, la géolocalisation et l’IMEI des smartphones à un serveur pirate. Après avoir récupéré les numéros de téléphone de leurs victimes, les applications utilisaient ce dernier pour les inscrire à des services payants par SMS. Les utilisateurs réglaient ensuite les achats non désirés sur leurs factures téléphoniques.

Toute la sophistication de cette famille de malware est de compresser et chiffrer un fichier exécutable avant de soumettre à Google l’application finale. Ainsi, le service Play Store ne détectait pas la supercherie et distribuait les applications. Une fois sur le smartphone, la clef transmise avec l’application déballait le paquet chiffré et permettait l’exécution du logiciel malveillant.

Capture d'écran réalisée par CheckPoint sur une application touchée par ExpensiveWall

Capture d’écran réalisée par CheckPoint sur une application touchée par ExpensiveWall

Pour CheckPoint, ces applications ont été créées exclusivement pour faire des profits grâce à leurs victimes. Toutefois, la technique d’encapsulage du code malveillant et la faille ouverte par celui-ci pourraient se révéler plus destructrices si les hackeurs avaient cherché à collecter des données sensibles, enregistrer de l’audio, etc. Selon les dires de la firme rapportés dans Ars Technica, même après suppression des apps dans la boutique Google, le malware ne sera stoppé qu’une fois supprimé de tous les smartphones.

L’outil Play Protect de Google qui supprime les malwares détectés n’étant pas compatible avec toutes les versions d’Android, certains smartphones pourraient rester vulnérables encore longtemps. CheckPoint note enfin que le malware de la famille ExpensiveWall est diffusé dans les applications à cause d’un SDK appelé GTK — rien à voir avec le projet libre. Il est de fait impossible de savoir si les développeurs ont sciemment intégré le malware à leurs applications ou s’ils sont des victimes collatérales.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.