Un dangereux cheval de Troie a été distribué par le biais d’une application populaire sur l’app store officiel en raison d’un programme de publicité malveillante.
Tribune Kaspersky – Les experts de Kaspersky mettent en garde contre une version malveillante d’une application populaire permettant la création d’images PDF. Elle a été distribuée par le biais de Google Play. L’application contenait des mécanismes de téléchargement de logiciels malveillants vers les appareils des utilisateurs. En conséquence, les victimes pouvaient se retrouver abonnées à des services payants sans leur accord. Selon les statistiques de la plate-forme, l’application a été installée plus de 100 millions de fois. Google Play Store a immédiatement retiré l’application à la suite de la notification par Kaspersky de l’existence du contenu malveillant.
En recherchant l’application compromise, les chercheurs de Kaspersky ont découvert un dropper malveillant – l’outil qui déploie le malware – servant à introduire un téléchargeur malveillant sur l’appareil de l’utilisateur. Ce dernier a ensuite été utilisé pour télécharger des fichiers malveillants sur le smartphone de l’utilisateur. Les fonctionnalités de ces fichiers variaient en fonction des intentions de leurs développeurs, mais les échantillons analysés par les chercheurs de Kaspersky affichaient des publicités intrusives et inscrivaient l’utilisateur à des abonnements payants.
Peu de temps après le retrait de Google Play, le développeur de l’application a publié une déclaration (https://twitter.com/CamScanner/status/1166733219841986561) indiquant que l’incident avait été causé par un tiers fournisseur de publicité.
« Ce n’est pas souvent que nous voyons une application avec une base d’utilisateurs fidèles et un si grand nombre d’installations distribuer des composants malveillants. Compte tenu des commentaires positifs sur la page de l’application Google Play et du fait que les chercheurs en sécurité n’avaient pas détecté d’activité malveillante auparavant, il semble que les modules malveillants ont été ajoutés dans l’application via une mise à jour. Cette affaire rappelle l’importance pour les consommateurs de protéger leurs appareils, même s’ils téléchargent leurs applications via les stores officiels », a déclaré Igor Golovin, chercheur en sécurité chez Kaspersky.
Pour rester en sécurité, Kaspersky recommande de :
- Garder en mémoire que toutes les applications, y compris celles mises à disposition via des stores officiels, peuvent être modifiées et inclure des éléments malveillants.
- Installer les mises à jour du système et des applications dès qu’elles sont disponibles – ces derniers corrigent les vulnérabilités et protègent les périphériques
- Utiliser une solution de sécurité fiable pour Android et de scanner son smartphone régulièrement, pour s’assurer qu’il reste protégé.
Blogpost simplifié de Kaspersky : https://www.kaspersky.com/blog/camscanner-malicious-android-app/28156/
Blogpost technique de Kaspersky : https://securelist.com/dropper-in-google-play/92496/