Étude des menaces

Les utilisateurs d’Android doivent rester vigilants, pourquoi ?

Byron Acohido, 6 mai 2019

Byron Acohido rencontre Nikolaos Chrysaidos, responsable de Sécurité et surveillance des menaces sur appareils mobiles du Laboratoire des menaces Avast.

Les utilisateurs Android – dont je suis – seraient bien avisés d’être constamment vigilants sur les types de cybermenaces dirigées, à tout moment, sur les systèmes d’exploitation les plus populaires des appareils mobiles.

Les attaques ne vont pas disparaître, et d’en avoir conscience devrait vous éviter d’en être victime. Il vaut nettement mieux vous tenir informé des nouvelles mesures défensives que Google est obligé de prendre pour protéger les utilisateurs Android. Tout récemment, par exemple, le géant de la recherche a supprimé 50 applications malveillantes, installées 30 millions de fois, sur le Google Play Store officiel, notamment des applications de fitness, d’édition photo et de jeux.

Et au début de cette année, trois « applications de retouche de selfie » – Pro Selfie Beauty Camera, Selfie Beauty Camera Pro et Pretty Beauty Camera 2019 – accessibles dans le Google Play Store se sont révélées être des outils de propagation de logiciel publicitaire et de logiciel espion. Chaque application a été installée 500 000 fois au moins, avec Pretty Beauty Camera 2019 totalisant plus de 1 million d’installations, principalement par des utilisateurs Android résidant en Inde.

Des détails instructifs sur deux de ces campagnes malveillantes proviennent des analystes de malware travaillant sur la plate-forme apklab.io, lancée officiellement en février. Apklab.io est une plate-forme de surveillance des menaces mobiles d’Avast, conçue pour partager les renseignements rassemblés à partir de l’analyse d’échantillons collectés auprès des 145 millions d’appareils mobiles utilisant Android, répartis dans le monde entier.

J’ai eu la chance de rencontrer Nikolaos Chrysaidos (photo), responsable du service de sécurité et de surveillance des menaces sur mobiles chez Avast, pour explorer d’un peu plus près les résultats que la plate-forme apklabl.io a commencé à publier. Voici quelques extraits de notre discussion, éditée par souci de clarté et de longueur :

Acohido : Quelles étaient les particularités des 50 applications Android malveillantes récemment découvertes par votre analyse ?

Chrysaidos : Les applications ont été installées de 5 000 à 5 millions de fois, et elles incluaient un logiciel publicitaire qui affichait des annonces en continu et en plein écran et, pour certaines, essayaient de convaincre l’utilisateur d’installer d’autres applications. Les applications de logiciels publicitaires étaient reliées entre elles par l'utilisation de bibliothèques Android tierces qui contournent les restrictions de service d'arrière-plan dont sont équipées les dernières versions d'Android.

Le contournement lui-même n’est pas explicitement interdit sur Play Store. Cependant, nos analystes ont pu le détecter car les applications utilisant ces bibliothèques épuisent la batterie de l’utilisateur et cela ralentit l’appareil. Dans cet exemple, les bibliothèques continuent d’afficher de plus en plus de publicités, ce qui viole les règles du Google Play Store.

Acohido : Que pouvez-vous nous dire de plus sur ces « applications de retouche de selfie » contaminées ?

Chrysaidos : Elles prétendent modifier l’apparence des personnes qui apparaissent dans les selfies. En vérité, elles sont principalement des supports de publicités conçus pour les afficher de manière agressive et installer un logiciel espion. Ces publicités malveillantes vous redirigent sur des pages web douteuses et le logiciel espion collecte vos données.

Le plus gros de cette activité est monétisé, d’une façon ou d’une autre, par le biais d’un écosystème multimillionnaire de fraude par clic, essentiellement des annonceurs de paiement au clic qui ne renvoie rien ou presque. Les développeurs des applications en profitent pour tirer un maximum d’argent des publicités affichées. Les personnes malveillantes sont en effet payées par les annonceurs pour chaque publicité affichée.

Acohido : Quelles étaient certaines des fonctions avancées découvertes par vos analystes ?

Chrysaidos : Ces applications sont difficiles à supprimer du fait que leurs icônes sont souvent dissimulées sur l’écran du lanceur Android, ce qui empêche l’utilisateur de les retirer en mettant l’icône à la corbeille par « glisser-déposer ». Cela explique que l’application soit difficile à supprimer, de sorte que les profiteurs peuvent afficher plus de publicités et ainsi gagner plus.

Ces applications vérifient les lanceurs suivants : Apex, HTC Sense, 360 Launcher, QQ Launcher, Huawei, OPPO, LG, Samsung, et quelques autres. Une fois trouvé l’un de ces lanceurs, elles désinstallent leur propre icône.

En plus d’afficher des publicités, ces applications peuvent également passer des appels, enregistrer vos conversations, modifier l’état du réseau, s’étendre à d’autres applications, accéder au stockage externe de l’appareil, et encore plus.

Acohido : Comment faites-vous pour collecter toutes ces informations utiles ?

Chrysaidos : Nous collectons des échantillons de fichiers auprès de nos partenaires, des clients AV mobiles, ainsi qu’auprès de parties tierces, et nous les entrons dans apklab.io, notre plate-forme de surveillance des menaces sur mobiles. La classification et la catégorisation de la moindre souche de malware se fait automatiquement. Si un échantillon semble suspect, il est traité par notre outil d'analyse statique sur mesure interne et notre sandbox d'analyse dynamique.

Notre objectif est de détecter et d’éradiquer les menaces sur mobiles. Les échantillons de malware que nous isolons sont conservés pour toujours dans la base de données aklab.io, afin de résoudre toute réitération future. Actuellement, notre base de données contient près de 6,5 millions d'échantillons.

Acohido : Comment les menaces sur mobiles ont-elles évolué ces dernières années ?

Chrysaidos : En plus de faire évoluer les logiciels publicitaires et les logiciels espion ces dernières années, les développeurs malfaisants ont essayé de les monétiser par le biais d’un blocage des appareils mobiles, en exigeant une rançon de l’utilisateur pour les débloquer. Ce type de logiciel est appelé ransomware. Le ransomware a évolué en minage de crypto-monnaie, dans lequel l’appareil sert à participer furtivement à du minage de crypto-monnaies, avec les sommes fournies à l’auteur de la menace. C’est l’augmentation de la valeur des crypto-monnaies qui a alimenté cette évolution.

Parallèlement au minage de crypto-monnaies et aux ransomwares, les développeurs ont testé et développé une catégorie de plus de programme malveillant : les chevaux de Troie bancaires. Les programmes malveillants bancaires visent à dérober les identifiants bancaires et les données de cartes de crédit des utilisateurs d’appareils mobiles. Les chevaux de Troie bancaires ont beaucoup évolué au cours de l’année passée, en s’appropriant les techniques de minage de crypto-monnaies et de ransomware pour entrer dans la nouvelle ère du malware pour appareil mobile hybride.

Acohido : Comment voyez-vous l’évolution des menaces sur les appareils mobiles dans les une ou deux années qui viennent ?

Chrysaidos : Les auteurs de malware vont continuer à tenter de pénétrer le Google Play Store pour y télécharger leurs programmes. Le malware bancaire sera encore la tendance, car c’est un excellent moyen de gagner beaucoup d’agent pour leurs auteurs.

Visionnez Gagan Singh, vice-président senior d’Avast et directeur général de Mobile, et découvrez comment fonctionnent les chevaux de Troie bancaires sur les mobiles, ci-dessous :