Android : les malwares Ztorg obligent Google à nettoyer régulièrement son Store

Android : les malwares Ztorg obligent Google à nettoyer régulièrement son Store

Trust no one

Avatar de l'auteur
Vincent Hermann

Publié dans

Société numérique

22/06/2017 6 minutes
19

Android : les malwares Ztorg obligent Google à nettoyer régulièrement son Store

Google s’est débarrassé récemment de plusieurs applications infectées par la famille de malwares Ztorg. Ce n’est pas la première fois que l’éditeur doit faire face à cette famille de logiciels malveillants. S'il en était besoin, ce ménage rappelle que les protections ne sont pas absolues, et que les commentaires sont même parfois de piètres indicateurs.

Depuis que le Play Store existe, Google y mène régulièrement des opérations de nettoyage pour se débarrasser des applications infectées qui parviennent à s’y infiltrer. Récemment, ce fut encore le cas pour deux applications qui embarquaient le malware Ztorg.

Les techniques ont cependant évolué chez les pirates. Par exemple, ils peuvent envoyer sur les serveurs des applications légitimes. Ce n’est que plus tard, quand la méfiance est endormie, qu’une mise à jour malveillante est déployée. La méfiance reste donc toujours de mise.

La forme dormante d’une famille tenace

Parmi les applications supprimées, on trouvait par exemple Magic Browser. Envoyée sur les serveurs de Google le 15 mai, elle avait donc passé les sas de sécurité du Play Store. Elle est restée en ligne pendant environ un mois, générant plus de 50 000 téléchargements.

Le navigateur se présentait comme ultra rapide, économe, fluide avec une interface simple, etc. En clair de nombreuses promesses. De quoi faire naître des doutes ? Pour les plus suspicieux oui, mais le texte n’était finalement pas très différent des arguments commerciaux placés habituellement dans les fiches de description.

Autre application, Noise Detector. Cette fois, elle proposait à l’utilisateur de mesurer le niveau sonore ambiant pour fournir un résultat en décibels.

Dans les deux cas, Ztorg était présent, sous une forme dormante. Roman Unuchek, chercheur en sécurité chez Kaspersky, affirme que ce malware a habituellement la capacité d’exploiter de nombreuses failles de sécurité pour « rooter » le téléphone, lui octroyant alors de nombreux privilèges. Dans Magic Browser et Noise Detector pourtant, l’opération n’avait pas lieu.

Des protections contournées via des mises à jour vérolées

Les deux applications contenaient des traces évidentes de Ztorg selon le chercheur. Pourquoi ne pas passer à l’attaque ? Pour lui, Magic Browser et Noise Detector allaient bien attaquer, mais il est probable que la suppression de Google ait finalement interrompu les opérations.

Il est possible en effet que les concepteurs de ces applications aient utilisé la même technique que celle trouvée dans le jeu Colourblock, supprimée par Google plus tôt dans le mois. Le jeu se présentait initialement sous une forme légitime : une vraie application, sans code malveillant. Ce n’est que plus tard, via une mise à jour qui avait déjoué les protections du Play Store, que le malware avait été implanté.

Il y avait donc pour le chercheur une réelle volonté d’échapper à la détection, sans pour autant avoir le temps de lancer une offensive. Une fonction permettait tout de même d’émettre dans une partie des cas des messages surtaxés. Il se pourrait également que cette version particulière du malware ait encore été en test, le chercheur ayant trouvé des fonctions pouvant « briquer » l’appareil mobile.

Dans tous les cas, ces malwares soulèvent plusieurs importantes questions.

Faire confiance ou ne pas faire confiance ?

Le fait qu’un malware puisse passer les défenses du Play Store ne devrait pas être une surprise. Le jeu du chat et de la souris dans ce domaine continuera sans doute encore longtemps. Plusieurs points sont cependant mis en lumière par le billet du chercheur, qui invitent tous à la prudence pour l’ensemble des utilisateurs.

Tout d’abord, qui que soient les auteurs de Ztorg, son utilisation passe toujours par des applications conçues pour attirer le regard, en promettant monts et merveilles. La première détection du malware a ainsi eu lieu en septembre 2016 dans un guide pour Pokémon Go, téléchargé plus de 500 000 fois avant d’être supprimé. Le mois dernier, une application vantant une meilleure protection de la vie privée, Privacy Lock, a été téléchargé plus d’un million de fois.

Comme l’avait indiqué Google quand il a commencé à décrire la sécurité de sa boutique, un kill switch existe pour ce type de cas. Si l’éditeur détecte après coup qu’une menace est distribuée sur son Store, il peut non seulement la supprimer de ses serveurs, mais déclencher un ordre de suppression pour l’ensemble des appareils l’ayant déjà récupéré. À ce niveau, c’est le délai entre l’installation et la suppression qui importe, puisque l’utilisateur peut s’être fait dérober de nombreuses informations entre temps, ou facturer des messages et autres appels surtaxés.

Quoi qu’il en soit, l’utilisateur ne devrait jamais considérer que la seule présence d’une application dans le Store est une garantie absolue de sécurité. Le problème se renforce avec les commentaires. Pour peu que l’application ait été « bien conçue » et soit légitime dans ses premières versions, les utilisateurs déposent en effet des avis positifs, accentuant la tromperie.

Dans ce domaine malheureusement, il n’existe pas de solution miracle. Le risque est beaucoup moins élevé pour les éditeurs connus, mais il n’est pas non plus réduit à zéro. Certains piratages, comme ceux des logiciels HandBrake et Transmission, ont montré que même des solutions en place depuis des années peuvent tout à coup être détournées. La prudence reste donc de mise, même si la langue de Molière peut être considérée comme une barrière supplémentaire : dans la majorité des cas, les fausses applications disposent en effet de fiches rédigées en anglais.

19

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

La forme dormante d’une famille tenace

Des protections contournées via des mises à jour vérolées

Faire confiance ou ne pas faire confiance ?

Commentaires (19)


Comme toujours avoir un minimum de bon sens est bien utile

Lorsque l’on se complait dans la déresponsabilisation universelle que permet de plus en plus notre société, il ne faut pas venir se plaindre



Quand sur le marché Mme Michu trouve un sac Longchamp neuf sous blister gratuit et que tout le monde lui dit “bonne qualité madame” ou “super produit”, elle réfléchit pas 2 secondes ?


Viendez sur F-droid <img data-src=" />


owi \o/

on est déjà deux<img data-src=" />


Au moins sur F-Droid tu ne te pose pas la question si l’apk est infectée ou pas…&nbsp;<img data-src=" />








tpeg5stan a écrit :



owi \o/

on est déjà deux<img data-src=" />





Trois \o/



J’ai loupé un truc avec le piratage de HandBrake et Transmission… Quelqu’un pour me donner un lien / des infos sur le sujet ?








jackjack2 a écrit :



Comme toujours avoir un minimum de bon sens est bien utile

Lorsque l’on se complait dans la déresponsabilisation universelle que permet de plus en plus notre société, il ne faut pas venir se plaindre





mais de quel bon sens et “déresponsabilisation” tu parles (pour ce qui nous interesse dans l’article)?



les applis sont dispo dans le store et on vraiment l’air légitime, comment veux-tu que qui que ce soit puisse se dire, si on prend le cas du guide Pokemon Go, “tiens, cette apps à l’air louche…”?



Si on parlait de gens qui se font infecter en installant un truc récup de façon random sur le web ou un store parallèle, ok, je ne dis pas, mais là franchement, aucun bon sens ne peux te protéger…



Disons que si elle est infectée, tu peux le vérifier toi-même puisque le code est ouvert <img data-src=" />



On peut donc améliorer le malware, c’est-y pas beau quand même ? <img data-src=" />


Voici une news Nextinpact sur le sujet.








jackjack2 a écrit :



Comme toujours avoir un minimum de bon sens est bien utile

Lorsque l’on se complait dans la déresponsabilisation universelle que permet de plus en plus notre société, il ne faut pas venir se plaindre



Quand sur le marché Mme Michu trouve un sac Longchamp neuf sous blister gratuit et que tout le monde lui dit “bonne qualité madame” ou “super produit”, elle réfléchit pas 2 secondes ?





Ca n’empêche pas une application payante d’être verolées egalements voir même des applications développées par des éditeurs connus. Sur le google play, les applications sont censées être verifiées. Donc à part ne rien installer (et encore, certains telephones sont livrés avec des malwares preinstallés) ou developper ses propres applis sur android, il n’y a pas vraiment de solution. De plus ce qu’on voit avec Ztorg et autres malwares, virus… C’est surement que la partie émergé de l’iceberg, entre les hackers, les gouvernements et autres …



&nbsp;



le rapport avec le faux sac Vuitton de la mère Michu est foireux.

Madame Michu sait très bien ce qu’elle achète, et son faux sac ne va pas lui apporter beaucoup d’emmerdes, à part lors d’un éventuel contrôle douanier.








zethoun a écrit :



mais de quel bon sens et “déresponsabilisation” tu parles (pour ce qui nous interesse dans l’article)?



les applis sont dispo dans le store et on vraiment l’air légitime, comment veux-tu que qui que ce soit puisse se dire, si on prend le cas du guide Pokemon Go, “tiens, cette apps à l’air louche…”?



Si on parlait de gens qui se font infecter en installant un truc récup de façon random sur le web ou un store parallèle, ok, je ne dis pas, mais là franchement, aucun bon sens ne peux te protéger…





C’est un tout, tu as les avis, mais surtout le titre et le résumé

Quand je vois un résumé avec 50% de majuscules, 5 points d’exclamation par phrase et des emojis étoile-coeur-bisous-feu d’artifice un peu partout, j’installe pas

Quand on me promet le meilleur du meilleur, fluide, beau, léger, et qui fait le café, pareil

Tout ça doublé d’une recherche sur internet pour voir si l’app et son créateur sont connu



Alors bien sûr que c’est pas infaillible mais quand je vois des applis qui manifestement ont l’air chelou, ont des majuscules/points d’exclamation partout, moins de lettres que d’emojis dans le résumé, plus de fautes que de mots dans ce même résumé, une existence de quelques mois, une adresse de contact du type “[email protected]”, un nombre d’autorisations demandées supérieur à ce que je croyais même exister, et que je vois que le compte de téléchargements est dans la dizaine voire centaine de milliers, très clairement j’ai pas envie de pleurer pour ces gogos







mood8 a écrit :



Ca n’empêche pas une application payante d’être verolées egalements voir même des applications développées par des éditeurs connus. Sur le google play, les applications sont censées être verifiées. Donc à part ne rien installer (et encore, certains telephones sont livrés avec des malwares preinstallés) ou developper ses propres applis sur android, il n’y a pas vraiment de solution. De plus ce qu’on voit avec Ztorg et autres malwares, virus… C’est surement que la partie émergé de l’iceberg, entre les hackers, les gouvernements et autres …





“Sur le google play, les applications sont censées être verifiées.” Comment ça? Vérifiées par rapport à quoi et par qui?









hellmut a écrit :



le rapport avec le faux sac Vuitton de la mère Michu est foireux.

Madame Michu sait très bien ce qu’elle achète, et son faux sac ne va pas lui apporter beaucoup d’emmerdes, à part lors d’un éventuel contrôle douanier.





Bien sûr que c’est foireux je suis en train de me faire caniculer, j’arrive pas à réfléchir efficacement



On constate encore une fois que les stores “fermés” sont loin d’être la panacée en matière de protection vis à vis des malwares ou autres, mais bon, en avant ! Allons y ! …








Juju251 a écrit :



On constate encore une fois que les stores “fermés” sont loin d’être la panacée en matière de protection vis à vis des malwares ou autres, mais bon, en avant ! Allons y ! …





Depuis 2 mois, pour contribuer à l’effort d’humour national visible dans les journaux, à la TV, ou même entre potos au comptoir, on ne dit plus “en avant”, “en trottinant” ni “allons-y”, mais “en marche”

Le décret va être publié sous peu









jackjack2 a écrit :



Bien sûr que c’est foireux je suis en train de me faire caniculer, j’arrive pas à réfléchir efficacement





<img data-src=" />

faut venir en Bretagne pour les vacances. <img data-src=" />









Juju251 a écrit :



On constate encore une fois que les stores “fermés” sont loin d’être la panacée en matière de protection vis à vis des malwares ou autres, mais bon, en avant ! Allons y ! …





entre ça et un store “ouvert” qui ne fait rien… ^^



Google a mis en place fin 2011 et début 2012 un programme nommé «&nbsp;Bouncer&nbsp;» qui inspecte les applications publiées sur le Play Store pour détecter les malwares connus et si l’application effectue ou non des actions suspectes&nbsp;; par la suite, les applications sont scannées de manière périodique et si nécessaire elles sont supprimées49. Ce nouveau système a permis de diminuer de 40&nbsp;% le nombre d’applications problématiques selon Google49.



&nbsp;Fonctionnement de bouncer avec l’aide de l’ia maintenant https://www.wired.com/2016/06/googles-android-security-team-turns-machine-learni…



Sinon à partir d’android 7, tu as&nbsp;Google Play Protect&nbsp;en plus :&nbsp;



https://support.google.com/googleplay/answer/2812853?hl=fr-CA



Bien sur que cela ne suffit pas pour une securtié à 100% mais bon c’est comme ça qu’ils détectent en partie certaines applications nuisibles.



C’est toujours que mieux que de telechager ton appli de conversion de fichier audio sur un site “specialisé” sur le net pour windows, ou le dernier pacman à la mode qui contient plus de virus et de malware dans son code qu’autre chose. Ce que fait madame michu comme tu dis dans tous les cas.&nbsp;



Sans parler des photoshop ou windows 7 ultimate sur les sites de warez… Ou le dernier GTA full crack.


D’ailleurs je me suis cassé la tête a faire un petit pavé alors que dans l’article qu’on est en train de commenter, il y avait un lien vers un article qui parlait justement du fonctionnement da la sécurité du play store (en tout cas, ce qu’ils peuvent révéler) :



https://www.nextinpact.com/news/102951-google-detaille-partie-sa-lutte-contre-ma…








jackjack2 a écrit :



Bien sûr que c’est foireux je suis en train de me faire caniculer, j’arrive pas à réfléchir efficacement







Mais quel est le rapport avec ton chien ?

#neologisme_fail