Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

35 applications supprimées du Play Store pour chasser le malware BadNews

Jusqu'à neuf millions de victimes potentielles

35 applications supprimées du Play Store pour chasser le malware BadNews

Le 24 avril 2013 à 08h28

Ces derniers jours, Google a été confronté à un malware qui a eu l’audace de s’infiltrer derrière les défenses de sa boutique Play Store. La bête se cachait dans plusieurs dizaines d’applications et le nombre de victimes s’élève potentiellement à 9 millions, les applications ayant eu le temps d’être téléchargées pendant plusieurs mois. Un scénario qui relance aussi bien les questions autour de la sécurité du Play Store qu'autour des antivirus mobiles.

Google playstore  

Un malware qui rapatrie d'autres malwares 

L’histoire de BadNews s’écrit en deux temps. En fin de semaine dernière, la société Lookout a annoncé sur son blog avoir découvert le malware, ou plutôt une nouvelle famille de malwares. Le code malveillant était logé au cœur de 32 applications mobiles qui, fait notable, étaient présentes dans la boutique officielle d’Android, le Play Store. Le cas est donc différent des malwares qui se répandent dans les boutiques alternatives.

 

Selon les propres chiffres donnés par les outils d’analyse de Google, les applications ont été téléchargées entre 2 et 9 millions de fois, créant donc une population de plusieurs millions de victimes potentielles. Voici les étapes de contamination et leurs répercussions :

  1. L’utilisateur télécharge une application contaminée
  2. Au lancement de cette application, BadNews est activé
  3. BadNews communique avec un serveur distant pour envoyer le numéro de téléphone, l’identifiant unique de l’appareil et d’autres données
  4. Le serveur se sert de ces informations pour fabriquer une attaque plus personnalisée
  5. L’utilisateur se voit proposer de fausses mises à jour et applications, contenant d’autres malwares

Rapidement, Google prend des mesures et supprime les 32 applications récalcitrantes. Il faut dire que les fausses mises à jour se présentaient sous des traits légitimes, et pour des applications à fort succès telles que Skype. En outre, parmi les malwares téléchargés, on trouvait des troyens comme AlphaSMS, capable d’envoyer des SMS surtaxés à certains numéros.

 

badnews

Source : Lookout

 

Mais il aura fallu attendre lundi que BitDefender se jette à l’eau pour apprendre que trois applications supplémentaires étaient de la partie. Listées par l’éditeur de solutions de sécurité, ru.yoya.anekdot, com.hellow.world et zh.studio agissaient exactement sur le même modèle que les 32 applications précédentes. Là encore, Google a réagi en supprimant les trois nouvelles découvertes.

Une menace connue depuis juin 2012 

Mais le billet de BitDefender va plus loin dans ses explications. On apprend ainsi que BadNews n’a pour la firme rien de nouveau. Le malware est en effet présent dans les bases de données depuis juin 2012, soit une dizaine de mois. Pour BitDefender, il était connu jusqu’à présent sous l’appellation « Android.Trojan.InfoStealer.AK ».

 

L’éditeur indique que la première version était très certainement un essai dans la quête d’une méthode pour traverser les défenses du Play Store. Ainsi, Android.Trojan.InfoStealer.AK ne pouvait pas provoquer l’installation de fausses mises à jour. Mais la piste explorée par les auteurs de BadNews a prouvé son efficacité : un faux réseau publicitaire. Et BitDefender met en garde : « Nous disons depuis longtemps qu’il existe des adwares agressifs qui collectent vos données, qui collectent tout un tas de choses sur vous, mais maintenant vous pouvez réellement contourner la sécurité de Google en utilisant le framework publicitaire personnalisé ». L’éditeur indique en outre que le code est hautement polymorphique, ce qui peut expliquer en partie pourquoi Google n’a rien vu.

Plusieurs millions de victimes potentielles 

Mais qu’en est-il des victimes ? En fait, leur nombre est assez délicat à estimer. On sait qu’un grand nombre de rapports ont été envoyés depuis la Chine, mais BitDefender signale également une présence de BadNews en Allemagne, en Birmanie et en Russie. Les malwares téléchargés par BadNews doivent cependant passer une frontière avant d’entrer en action : celle de l’utilisateur.

 

Plusieurs conditions doivent en effet être remplies. Premièrement, l’utilisateur doit avoir préalablement autorisé l’installation des applications depuis des sources tierces. Deuxièmement, il doit accepter via un bouton la fausse mise à jour. Évidemment, s’il reçoit une proposition de Skype alors que ce dernier n’est pas installé, il y a fort à parier qu’il y verra anguille sous roche.

 

De fait, la situation relance les débats autour de plusieurs questions. Notamment les boutiques, et la prudence nécessaire aux utilisateurs quand il s’agit d’activer les sources tierces pour les installations. Un débat également sur la manière dont Google procède à la vérification des applications sur sa boutique, c’est-à-dire a posteriori, contrairement à Apple dont la vérification se fait dès l’entrée. Un débat enfin sur l’éventuelle présence d’un antivirus sur les appareils mobiles, car tant les produits de BitDefender que Lookout étaient capables de détecter cette menace.

Commentaires (29)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Et google qui va dire:

faites comme si vous étiez chez apple, bloquez l’installation des applications depuis des sources tierces…

votre avatar



Type of app : Russian mushrooms

:<img data-src=" />

votre avatar







MasterDav a écrit :



Mais oui, mais oui. Chez Apple il n’y a aucune faille ni aucun virus.





Non mais il y a un check en amont avant validation de l’app, ça n’empêche pas ce genre de problème, mais le réduit fortement, ajouter au côté très fermé de iOS on arrive a une faible probabilité pour ce genre de truc.


votre avatar







coucou_lo_coucou_paloma a écrit :



:<img data-src=" />





oui j’ai tiqué aussi mais je pense que c’est un guide sur les champignons (comestible, toxique, hallucinogène, goomba, etc.)


votre avatar







misterB a écrit :



Non mais il y a un check en amont avant validation de l’app, ça n’empêche pas ce genre de problème, mais le réduit fortement, ajouter au côté très fermé de iOS on arrive a une faible probabilité pour ce genre de truc.





<img data-src=" />

apres sur des device jailbreakes, ca doit etre possible de recuperer des ipa verolés aupres de sources non fiables mais recuperer un malware sur l’appstore ca nuirait fortement a la reputation d’apple.


votre avatar







WereWindle a écrit :



oui j’ai tiqué aussi mais je pense que c’est un guide sur les champignons (comestible, toxique, hallucinogène, goomba, etc.)







oui c’etait un guide sur les champignons les plus communs en russie <img data-src=" />


votre avatar







misterB a écrit :



Non mais il y a un check en amont avant validation de l’app, ça n’empêche pas ce genre de problème, mais le réduit fortement, ajouter au côté très fermé de iOS on arrive a une faible probabilité pour ce genre de truc.





Encore faut-il passer par l’AppStore, parce qu’avec Cydia selon les dépôts c’est bien pire que sur Android.

D’un autre côté, si Android était aussi bridé et limité qu’iOS il n’y aurait pas eu ces malwares.

Personnellement je préfère un OS que je peux paramétrer à mes goûts avec ROM et kernel custom plutôt qu’un jouet fashion pour neuneu qui se limite grossièrement à Doodle Jump/Facebook/SMS/Téléphone et 3t d’autres applications parfaitement inutiles.

Bien que le premier soit moins “sécurisé” que le second, encore faut-il savoir ce que l’on fait.

Et si je dis ça c’est que je suis passé d’un 3GS à un Nexus 4.


votre avatar







MasterDav a écrit :



Encore faut-il passer par l’AppStore, parce qu’avec Cydia selon les dépôts c’est bien pire que sur Android.

D’un autre côté, si Android était aussi bridé et limité qu’iOS il n’y aurait pas eu ces malwares.

Personnellement je préfère un OS que je peux paramétrer à mes goûts avec ROM et kernel custom plutôt qu’un jouet fashion pour neuneu qui se limite grossièrement à Doodle Jump/Facebook/SMS/Téléphone et 3t d’autres applications parfaitement inutiles.

Bien que le premier soit moins “sécurisé” que le second, encore faut-il savoir ce que l’on fait.

Et si je dis ça c’est que je suis passé d’un 3GS à un Nexus 4.





Cydia c’est différent, là c’est des app sur le play store donc la boutique officielle <img data-src=" />



Après Andro ou iOS c’est une question de choix et là dessus on a rien a dire <img data-src=" />


votre avatar







misterB a écrit :



Après Andro ou iOS c’est une question de choix et là dessus on a rien a dire <img data-src=" />





C’est pas faux, choix, date, tout ça quoi. <img data-src=" />

Mais ça m’empêchera pas de critiquer l’écosystème Apple <img data-src=" />


votre avatar







MasterDav a écrit :



C’est pas faux, choix, date, tout ça quoi. <img data-src=" />

Mais ça m’empêchera pas de critiquer l’écosystème Apple <img data-src=" />





Tu peux critiquer l’ecosysteme, c’est même conseillé tant que c’est argumenté et il y a souvent matière dans les deux.



Et ça peut même souvent aider d’autres a choisir en connaissance de cause<img data-src=" />



votre avatar







misterB a écrit :



Non mais il y a un check en amont avant validation de l’app, ça n’empêche pas ce genre de problème, mais le réduit fortement, ajouter au côté très fermé de iOS on arrive a une faible probabilité pour ce genre de truc.







La validation de l’app store, c’est plus le respect des consignes (pas de pornographie, pertinenced e l’appli, etc..). Ca ne change rien sur la sécurité: que ce soit Android ou iOS, si on ne détecte pas de code malfaisant dans l’appli, ben tu n’as aucune garantie de plus.



Je vois vraiment ce que ca change concernant ce problème, ca aurait très bien pu arriver sur iOS.


votre avatar







corsebou a écrit :



Les apps discrètes tout cela, c’est toujours potentiellement dangereux, c’est comme une application windows inconnu!



Les utilsateurs de smarphone sont si peu attentifs…





Fixed <img data-src=" />


votre avatar

Bof… quand on voit la liste présentée, ça a l’air surtout des applis russes… <img data-src=" />

votre avatar

A quand une appli “class action” ??



Je ne suis pas assez expert pour affirmer que la méthode Apple (check en amont) est plus sûre que la méthode Google (check en aval). Mais pour le commun des mortel cela semble être une méthode pas sûre du tout.



Si un juge décrète que google est laxiste avec le store pré-installé sur des millions et des millions de smartphones ça peut faire très mal!

votre avatar

good news

votre avatar







darkbeast a écrit :



good news







Je dirais même plus : Good news everyone!


votre avatar

Quand je vois par exemple le jeu Stupid Birds, je me dis que les mecs se sont quand même donné bien du mal… <img data-src=" />



A noter qu’un jeu comme Greemlins Holydays est encore disponible ailleurs, comme sur la boutique Opéra

votre avatar



Un débat également sur la manière dont Google procède à la vérification des applications sur sa boutique, c’est-à-dire a posteriori, contrairement à Apple dont la vérification se fait dès l’entrée.





C’est complètement faux. En ce qui concerne la sécurité, la validation est bien une validation (automatique) à priori.



La validation a posteriori concerne les restrictions plus “politique”.

votre avatar

LBE Security, ça peut aider.

votre avatar

Google vivrait avec android ce que windows à vécu jusqu’a vista?

votre avatar

C’est vrai que ce jeux “stupid bird” a l’air bien fait-

Par contre ma première réaction c’était que la plupart des apps citées avaient l’air suspecte dans tout les cas…



Les apps discrètes tout cela, c’est toujours potentiellement dangereux, c’est comme une application windows inconnu!



Les utilsateurs de smarphone sont si peu attentifs…

votre avatar







corsebou a écrit :



C’est vrai que ce jeux “stupid bird” a l’air bien fait-

Par contre ma première réaction c’était que la plupart des apps citées avaient l’air suspecte dans tout les cas…



Les apps discrètes tout cela, c’est toujours potentiellement dangereux, c’est comme une application windows inconnu!



Les utilsateurs de smarphone sont si peu attentifs…





Etrangement ce sont les mêmes utilisateurs que sur PC. <img data-src=" />



Sinon oui la liste des appli est louche au premier abord. Et je ne serais pas surpris que ces applis réclament des droits un peu disproportionnés pour ce qu’elles sont censées faire.


votre avatar

Sinon on installe LBE Security Master… ah c’est sur faut un portable Rooté et passer par le site d’XDA

votre avatar







bord a écrit :



Sinon on installe LBE Security Master… ah c’est sur faut un portable Rooté et passer par le site d’XDA





Ou passer par le lien que j’ai mis plus haut… <img data-src=" />


votre avatar







bord a écrit :



Sinon on installe LBE Security Master… ah c’est sur faut un portable Rooté et passer par le site d’XDA





Suffit de savoir lire, pas besoin de rajouter une app supplémentaire qui va pomper la batterie.


votre avatar







JohnCaffey a écrit :



Ou passer par le lien que j’ai mis plus haut… <img data-src=" />





Avast est pas mal aussi, en tout en un <img data-src=" />


votre avatar







flagos_ a écrit :



C’est complètement faux. En ce qui concerne la sécurité, la validation est bien une validation (automatique) à priori.



La validation a posteriori concerne les restrictions plus “politique”.







de toute facon sur iOS les api et le sandbox interdisent de faire des choses non catholiques ?


votre avatar







floop a écrit :



de toute facon sur iOS les api et le sandbox interdisent de faire des choses non catholiques ?





Mais oui, mais oui. Chez Apple il n’y a aucune faille ni aucun virus.


votre avatar

Bonjour,

Et donc ?

Comment sait-on si le téléphone est infecté ?

35 applications supprimées du Play Store pour chasser le malware BadNews

  • Un malware qui rapatrie d'autres malwares 

Fermer