Google ouvre les portes d’Android à 2 chevaux de Troie

Google a été contraint d’intervenir et de supprimer des applications malveillantes potentiellement capables de rooter des terminaux et d’envoyer des SMS surtaxés.

Lorsque vous téléchargez une application mobile à partir d’une source officielle, comme le Play Store de Google pour Android ou l’App Store iOS d’Apple, vous vous attendez à ce que ce logiciel soit authentique et sûr.

Pour la plupart, c’est vrai, mais parfois, les applications malveillantes se glissent entre les mailles du filet.

Depuis septembre 2016, Kaspersky Labs a détecté plusieurs dizaines d’applications malveillantes dans Google Play, toutes des variantes de logiciels malveillants pouvant rooter les terminaux infectés afin d’exploiter le système d’exploitation Android pour mener des activités telles que l’espionnage, la surveillance, le téléchargement de logiciels malveillants supplémentaires et le contrôle total de l’appareil.

Il semble que la soumission avec succès de logiciels malveillants à la boutique d’applications Android continue. Les chercheurs de Kaspersky Lab déclarent qu’en mai, deux nouvelles applications, des chevaux de Troie, ont été détectées.

La première application malveillante, appelée « Magic Browser », est destinée à accélérer la navigation sur le Web. Mise en ligne sur Google Play le 15 mai, elle a été installée plus de 50.000 fois.

La deuxième application, « Noise Detector », est décrite comme un logiciel capable de surveiller et d’enregistrer le bruit de son environnement. Cette application a été installée plus de 10.000 fois.

Les deux applications contiennent le cheval de Troie Ztorg. Et s’il ne peut rooter un appareil, le programme peut néanmoins encore causer des dommages sérieux. Comment ? En envoyant, sans le consentement de l’utilisateur, des messages SMS surtaxés à partir d’un téléphone infecté.

Une fois téléchargé et déployé sur un périphérique, le logiciel malveillant est conçu pour rester inactif pendant 10 minutes afin de ne pas éveiller les soupçons. Ce laps de temps écoulé, le cheval de Troie se connecte à son serveur de commande et de contrôle (C & C) avant de faire deux requêtes GET pour obtenir l’Identité d’abonné mobile international (IMSI) du terminal.

Avec ce numéro sécurisé, les opérateurs peuvent identifier le code de pays et l’opérateur mobile de l’utilisateur, une information nécessaire pour acheminer les SMS surtaxés.

Lorsque l’envoi de SMS démarre, le logiciel malveillant désactive le son de l’appareil et supprime tous les messages entrants pour éviter que l’utilisateur ne détecte quoi que ce soit.

Kaspersky suggère que les deux applications ont été mises en ligne à des fins différentes. Le premier, Magic Browser, pourrait avoir été un test destiné pour les cybercriminels à éprouver certaines fonctions, tandis que Noise Detector a été téléchargé avec la version standard de Ztorg.

« Au cours du processus de chargement, ils ont décidé d’ajouter des fonctionnalités malveillantes pour gagner de l’argent alors qu’ils travaillaient sur la mise en ligne du malware de rooting » juge l’éditeur de sécurité. « Il est probable que, si l’application n’avait pas été retirée de Google Play, elle aurait ajouté cette fonctionnalité lors de l’étape suivante ».

Les applications ont été signalées à Google et rapidement supprimées du magasin. Les utilisateurs déjà infectés doivent impérativement supprimer les chevaux de Troie.

mm
Rédacteur en chef du site inktomi.fr spécialiste des nouvelles technologies. Il publie des actualités liées au high tech, au web et les smartphones. Il est actuellement Gérant de la société inktomi, une agence web basée Aix-En-Provence.