Google s’est débarrassé récemment de plusieurs applications infectées par la famille de malwares Ztorg. Ce n’est pas la première fois que l’éditeur doit faire face à cette famille de logiciels malveillants. S'il en était besoin, ce ménage rappelle que les protections ne sont pas absolues, et que les commentaires sont même parfois de piètres indicateurs.
Depuis que le Play Store existe, Google y mène régulièrement des opérations de nettoyage pour se débarrasser des applications infectées qui parviennent à s’y infiltrer. Récemment, ce fut encore le cas pour deux applications qui embarquaient le malware Ztorg.
Les techniques ont cependant évolué chez les pirates. Par exemple, ils peuvent envoyer sur les serveurs des applications légitimes. Ce n’est que plus tard, quand la méfiance est endormie, qu’une mise à jour malveillante est déployée. La méfiance reste donc toujours de mise.
La forme dormante d’une famille tenace
Parmi les applications supprimées, on trouvait par exemple Magic Browser. Envoyée sur les serveurs de Google le 15 mai, elle avait donc passé les sas de sécurité du Play Store. Elle est restée en ligne pendant environ un mois, générant plus de 50 000 téléchargements.
Le navigateur se présentait comme ultra rapide, économe, fluide avec une interface simple, etc. En clair de nombreuses promesses. De quoi faire naître des doutes ? Pour les plus suspicieux oui, mais le texte n’était finalement pas très différent des arguments commerciaux placés habituellement dans les fiches de description.
Autre application, Noise Detector. Cette fois, elle proposait à l’utilisateur de mesurer le niveau sonore ambiant pour fournir un résultat en décibels.
Dans les deux cas, Ztorg était présent, sous une forme dormante. Roman Unuchek, chercheur en sécurité chez Kaspersky, affirme que ce malware a habituellement la capacité d’exploiter de nombreuses failles de sécurité pour « rooter » le téléphone, lui octroyant alors de nombreux privilèges. Dans Magic Browser et Noise Detector pourtant, l’opération n’avait pas lieu.
Des protections contournées via des mises à jour vérolées
Les deux applications contenaient des traces évidentes de Ztorg selon le chercheur. Pourquoi ne pas passer à l’attaque ? Pour lui, Magic Browser et Noise Detector allaient bien attaquer, mais il est probable que la suppression de Google ait finalement interrompu les opérations.
Il est possible en effet que les concepteurs de ces applications aient utilisé la même technique que celle trouvée dans le jeu Colourblock, supprimée par Google plus tôt dans le mois. Le jeu se présentait initialement sous une forme légitime : une vraie application, sans code malveillant. Ce n’est que plus tard, via une mise à jour qui avait déjoué les protections du Play Store, que le malware avait été implanté.
Il y avait donc pour le chercheur une réelle volonté d’échapper à la détection, sans pour autant avoir le temps de lancer une offensive. Une fonction permettait tout de même d’émettre dans une partie des cas des messages surtaxés. Il se pourrait également que cette version particulière du malware ait encore été en test, le chercheur ayant trouvé des fonctions pouvant « briquer » l’appareil mobile.
Dans tous les cas, ces malwares soulèvent plusieurs importantes questions.
Faire confiance ou ne pas faire confiance ?
Le fait qu’un malware puisse passer les défenses du Play Store ne devrait pas être une surprise. Le jeu du chat et de la souris dans ce domaine continuera sans doute encore longtemps. Plusieurs points sont cependant mis en lumière par le billet du chercheur, qui invitent tous à la prudence pour l’ensemble des utilisateurs.
Tout d’abord, qui que soient les auteurs de Ztorg, son utilisation passe toujours par des applications conçues pour attirer le regard, en promettant monts et merveilles. La première détection du malware a ainsi eu lieu en septembre 2016 dans un guide pour Pokémon Go, téléchargé plus de 500 000 fois avant d’être supprimé. Le mois dernier, une application vantant une meilleure protection de la vie privée, Privacy Lock, a été téléchargé plus d’un million de fois.
Comme l’avait indiqué Google quand il a commencé à décrire la sécurité de sa boutique, un kill switch existe pour ce type de cas. Si l’éditeur détecte après coup qu’une menace est distribuée sur son Store, il peut non seulement la supprimer de ses serveurs, mais déclencher un ordre de suppression pour l’ensemble des appareils l’ayant déjà récupéré. À ce niveau, c’est le délai entre l’installation et la suppression qui importe, puisque l’utilisateur peut s’être fait dérober de nombreuses informations entre temps, ou facturer des messages et autres appels surtaxés.
Quoi qu’il en soit, l’utilisateur ne devrait jamais considérer que la seule présence d’une application dans le Store est une garantie absolue de sécurité. Le problème se renforce avec les commentaires. Pour peu que l’application ait été « bien conçue » et soit légitime dans ses premières versions, les utilisateurs déposent en effet des avis positifs, accentuant la tromperie.
Dans ce domaine malheureusement, il n’existe pas de solution miracle. Le risque est beaucoup moins élevé pour les éditeurs connus, mais il n’est pas non plus réduit à zéro. Certains piratages, comme ceux des logiciels HandBrake et Transmission, ont montré que même des solutions en place depuis des années peuvent tout à coup être détournées. La prudence reste donc de mise, même si la langue de Molière peut être considérée comme une barrière supplémentaire : dans la majorité des cas, les fausses applications disposent en effet de fiches rédigées en anglais.
