Ces derniers jours, Google a été confronté à un malware qui a eu l’audace de s’infiltrer derrière les défenses de sa boutique Play Store. La bête se cachait dans plusieurs dizaines d’applications et le nombre de victimes s’élève potentiellement à 9 millions, les applications ayant eu le temps d’être téléchargées pendant plusieurs mois. Un scénario qui relance aussi bien les questions autour de la sécurité du Play Store qu'autour des antivirus mobiles.
Un malware qui rapatrie d'autres malwares
L’histoire de BadNews s’écrit en deux temps. En fin de semaine dernière, la société Lookout a annoncé sur son blog avoir découvert le malware, ou plutôt une nouvelle famille de malwares. Le code malveillant était logé au cœur de 32 applications mobiles qui, fait notable, étaient présentes dans la boutique officielle d’Android, le Play Store. Le cas est donc différent des malwares qui se répandent dans les boutiques alternatives.
Selon les propres chiffres donnés par les outils d’analyse de Google, les applications ont été téléchargées entre 2 et 9 millions de fois, créant donc une population de plusieurs millions de victimes potentielles. Voici les étapes de contamination et leurs répercussions :
- L’utilisateur télécharge une application contaminée
- Au lancement de cette application, BadNews est activé
- BadNews communique avec un serveur distant pour envoyer le numéro de téléphone, l’identifiant unique de l’appareil et d’autres données
- Le serveur se sert de ces informations pour fabriquer une attaque plus personnalisée
- L’utilisateur se voit proposer de fausses mises à jour et applications, contenant d’autres malwares
Rapidement, Google prend des mesures et supprime les 32 applications récalcitrantes. Il faut dire que les fausses mises à jour se présentaient sous des traits légitimes, et pour des applications à fort succès telles que Skype. En outre, parmi les malwares téléchargés, on trouvait des troyens comme AlphaSMS, capable d’envoyer des SMS surtaxés à certains numéros.
Source : Lookout
Mais il aura fallu attendre lundi que BitDefender se jette à l’eau pour apprendre que trois applications supplémentaires étaient de la partie. Listées par l’éditeur de solutions de sécurité, ru.yoya.anekdot, com.hellow.world et zh.studio agissaient exactement sur le même modèle que les 32 applications précédentes. Là encore, Google a réagi en supprimant les trois nouvelles découvertes.
Une menace connue depuis juin 2012
Mais le billet de BitDefender va plus loin dans ses explications. On apprend ainsi que BadNews n’a pour la firme rien de nouveau. Le malware est en effet présent dans les bases de données depuis juin 2012, soit une dizaine de mois. Pour BitDefender, il était connu jusqu’à présent sous l’appellation « Android.Trojan.InfoStealer.AK ».
L’éditeur indique que la première version était très certainement un essai dans la quête d’une méthode pour traverser les défenses du Play Store. Ainsi, Android.Trojan.InfoStealer.AK ne pouvait pas provoquer l’installation de fausses mises à jour. Mais la piste explorée par les auteurs de BadNews a prouvé son efficacité : un faux réseau publicitaire. Et BitDefender met en garde : « Nous disons depuis longtemps qu’il existe des adwares agressifs qui collectent vos données, qui collectent tout un tas de choses sur vous, mais maintenant vous pouvez réellement contourner la sécurité de Google en utilisant le framework publicitaire personnalisé ». L’éditeur indique en outre que le code est hautement polymorphique, ce qui peut expliquer en partie pourquoi Google n’a rien vu.
Plusieurs millions de victimes potentielles
Mais qu’en est-il des victimes ? En fait, leur nombre est assez délicat à estimer. On sait qu’un grand nombre de rapports ont été envoyés depuis la Chine, mais BitDefender signale également une présence de BadNews en Allemagne, en Birmanie et en Russie. Les malwares téléchargés par BadNews doivent cependant passer une frontière avant d’entrer en action : celle de l’utilisateur.
Plusieurs conditions doivent en effet être remplies. Premièrement, l’utilisateur doit avoir préalablement autorisé l’installation des applications depuis des sources tierces. Deuxièmement, il doit accepter via un bouton la fausse mise à jour. Évidemment, s’il reçoit une proposition de Skype alors que ce dernier n’est pas installé, il y a fort à parier qu’il y verra anguille sous roche.
De fait, la situation relance les débats autour de plusieurs questions. Notamment les boutiques, et la prudence nécessaire aux utilisateurs quand il s’agit d’activer les sources tierces pour les installations. Un débat également sur la manière dont Google procède à la vérification des applications sur sa boutique, c’est-à-dire a posteriori, contrairement à Apple dont la vérification se fait dès l’entrée. Un débat enfin sur l’éventuelle présence d’un antivirus sur les appareils mobiles, car tant les produits de BitDefender que Lookout étaient capables de détecter cette menace.
