Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Android : les malwares Ztorg obligent Google à nettoyer régulièrement son Store

Trust no one
Mobilité 4 min
Android : les malwares Ztorg obligent Google à nettoyer régulièrement son Store
Crédits : juniorbeep/iStock

Google s’est débarrassé récemment de plusieurs applications infectées par la famille de malwares Ztorg. Ce n’est pas la première fois que l’éditeur doit faire face à cette famille de logiciels malveillants. S'il en était besoin, ce ménage rappelle que les protections ne sont pas absolues, et que les commentaires sont même parfois de piètres indicateurs.

Depuis que le Play Store existe, Google y mène régulièrement des opérations de nettoyage pour se débarrasser des applications infectées qui parviennent à s’y infiltrer. Récemment, ce fut encore le cas pour deux applications qui embarquaient le malware Ztorg.

Les techniques ont cependant évolué chez les pirates. Par exemple, ils peuvent envoyer sur les serveurs des applications légitimes. Ce n’est que plus tard, quand la méfiance est endormie, qu’une mise à jour malveillante est déployée. La méfiance reste donc toujours de mise.

La forme dormante d’une famille tenace

Parmi les applications supprimées, on trouvait par exemple Magic Browser. Envoyée sur les serveurs de Google le 15 mai, elle avait donc passé les sas de sécurité du Play Store. Elle est restée en ligne pendant environ un mois, générant plus de 50 000 téléchargements.

Le navigateur se présentait comme ultra rapide, économe, fluide avec une interface simple, etc. En clair de nombreuses promesses. De quoi faire naître des doutes ? Pour les plus suspicieux oui, mais le texte n’était finalement pas très différent des arguments commerciaux placés habituellement dans les fiches de description.

Autre application, Noise Detector. Cette fois, elle proposait à l’utilisateur de mesurer le niveau sonore ambiant pour fournir un résultat en décibels.

Dans les deux cas, Ztorg était présent, sous une forme dormante. Roman Unuchek, chercheur en sécurité chez Kaspersky, affirme que ce malware a habituellement la capacité d’exploiter de nombreuses failles de sécurité pour « rooter » le téléphone, lui octroyant alors de nombreux privilèges. Dans Magic Browser et Noise Detector pourtant, l’opération n’avait pas lieu.

Des protections contournées via des mises à jour vérolées

Les deux applications contenaient des traces évidentes de Ztorg selon le chercheur. Pourquoi ne pas passer à l’attaque ? Pour lui, Magic Browser et Noise Detector allaient bien attaquer, mais il est probable que la suppression de Google ait finalement interrompu les opérations.

Il est possible en effet que les concepteurs de ces applications aient utilisé la même technique que celle trouvée dans le jeu Colourblock, supprimée par Google plus tôt dans le mois. Le jeu se présentait initialement sous une forme légitime : une vraie application, sans code malveillant. Ce n’est que plus tard, via une mise à jour qui avait déjoué les protections du Play Store, que le malware avait été implanté.

Il y avait donc pour le chercheur une réelle volonté d’échapper à la détection, sans pour autant avoir le temps de lancer une offensive. Une fonction permettait tout de même d’émettre dans une partie des cas des messages surtaxés. Il se pourrait également que cette version particulière du malware ait encore été en test, le chercheur ayant trouvé des fonctions pouvant « briquer » l’appareil mobile.

Dans tous les cas, ces malwares soulèvent plusieurs importantes questions.

Faire confiance ou ne pas faire confiance ?

Le fait qu’un malware puisse passer les défenses du Play Store ne devrait pas être une surprise. Le jeu du chat et de la souris dans ce domaine continuera sans doute encore longtemps. Plusieurs points sont cependant mis en lumière par le billet du chercheur, qui invitent tous à la prudence pour l’ensemble des utilisateurs.

Tout d’abord, qui que soient les auteurs de Ztorg, son utilisation passe toujours par des applications conçues pour attirer le regard, en promettant monts et merveilles. La première détection du malware a ainsi eu lieu en septembre 2016 dans un guide pour Pokémon Go, téléchargé plus de 500 000 fois avant d’être supprimé. Le mois dernier, une application vantant une meilleure protection de la vie privée, Privacy Lock, a été téléchargé plus d’un million de fois.

Comme l’avait indiqué Google quand il a commencé à décrire la sécurité de sa boutique, un kill switch existe pour ce type de cas. Si l’éditeur détecte après coup qu’une menace est distribuée sur son Store, il peut non seulement la supprimer de ses serveurs, mais déclencher un ordre de suppression pour l’ensemble des appareils l’ayant déjà récupéré. À ce niveau, c’est le délai entre l’installation et la suppression qui importe, puisque l’utilisateur peut s’être fait dérober de nombreuses informations entre temps, ou facturer des messages et autres appels surtaxés.

Quoi qu’il en soit, l’utilisateur ne devrait jamais considérer que la seule présence d’une application dans le Store est une garantie absolue de sécurité. Le problème se renforce avec les commentaires. Pour peu que l’application ait été « bien conçue » et soit légitime dans ses premières versions, les utilisateurs déposent en effet des avis positifs, accentuant la tromperie.

Dans ce domaine malheureusement, il n’existe pas de solution miracle. Le risque est beaucoup moins élevé pour les éditeurs connus, mais il n’est pas non plus réduit à zéro. Certains piratages, comme ceux des logiciels HandBrake et Transmission, ont montré que même des solutions en place depuis des années peuvent tout à coup être détournées. La prudence reste donc de mise, même si la langue de Molière peut être considérée comme une barrière supplémentaire : dans la majorité des cas, les fausses applications disposent en effet de fiches rédigées en anglais.

19 commentaires
Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 22/06/17 à 07:19:05

Comme toujours avoir un minimum de bon sens est bien utile
Lorsque l'on se complait dans la déresponsabilisation universelle que permet de plus en plus notre société, il ne faut pas venir se plaindre

Quand sur le marché Mme Michu trouve un sac Longchamp neuf sous blister gratuit et que tout le monde lui dit "bonne qualité madame" ou "super produit", elle réfléchit pas 2 secondes ?

Avatar de Jarodd INpactien
Avatar de JaroddJarodd- 22/06/17 à 07:24:25

Viendez sur F-droid :transpi:

Avatar de tpeg5stan Abonné
Avatar de tpeg5stantpeg5stan- 22/06/17 à 07:35:23

owi \o/
on est déjà deux:ouioui:

Avatar de Origami Abonné
Avatar de OrigamiOrigami- 22/06/17 à 07:40:28

Au moins sur F-Droid tu ne te pose pas la question si l'apk est infectée ou pas... :fumer:

Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 22/06/17 à 07:57:53

tpeg5stan a écrit :

owi \o/
on est déjà deux:ouioui:

Trois \o/

Avatar de yannickta Abonné
Avatar de yannicktayannickta- 22/06/17 à 07:58:59

J'ai loupé un truc avec le piratage de HandBrake et Transmission... Quelqu'un pour me donner un lien / des infos sur le sujet ?

Avatar de zethoun Abonné
Avatar de zethounzethoun- 22/06/17 à 08:00:05

jackjack2 a écrit :

Comme toujours avoir un minimum de bon sens est bien utile
Lorsque l'on se complait dans la déresponsabilisation universelle que permet de plus en plus notre société, il ne faut pas venir se plaindre

mais de quel bon sens et "déresponsabilisation" tu parles (pour ce qui nous interesse dans l'article)?

les applis sont dispo dans le store et on vraiment l'air légitime, comment veux-tu que qui que ce soit puisse se dire, si on prend le cas du guide Pokemon Go, "tiens, cette apps à l'air louche..."?

Si on parlait de gens qui se font infecter en installant un truc récup de façon random sur le web ou un store parallèle, ok, je ne dis pas, mais là franchement, aucun bon sens ne peux te protéger...

Avatar de Jarodd INpactien
Avatar de JaroddJarodd- 22/06/17 à 08:01:00

Disons que si elle est infectée, tu peux le vérifier toi-même puisque le code est ouvert :transpi:

On peut donc améliorer le malware, c'est-y pas beau quand même ? :8

Avatar de durthu Abonné
Avatar de durthudurthu- 22/06/17 à 08:09:09

Voici une news Nextinpact sur le sujet.

Avatar de mood8 INpactien
Avatar de mood8mood8- 22/06/17 à 08:18:59

jackjack2 a écrit :

Comme toujours avoir un minimum de bon sens est bien utile
Lorsque l'on se complait dans la déresponsabilisation universelle que permet de plus en plus notre société, il ne faut pas venir se plaindre

Quand sur le marché Mme Michu trouve un sac Longchamp neuf sous blister gratuit et que tout le monde lui dit "bonne qualité madame" ou "super produit", elle réfléchit pas 2 secondes ?

Ca n'empêche pas une application payante d'être verolées egalements voir même des applications développées par des éditeurs connus. Sur le google play, les applications sont censées être verifiées. Donc à part ne rien installer (et encore, certains telephones sont livrés avec des malwares preinstallés) ou developper ses propres applis sur android, il n'y a pas vraiment de solution. De plus ce qu'on voit avec Ztorg et autres malwares, virus... C'est surement que la partie émergé de l'iceberg, entre les hackers, les gouvernements et autres ...

 

Il n'est plus possible de commenter cette actualité.
Page 1 / 2