Étude des menaces

Une fausse application mobile CCleaner s’est infiltrée dans l’App Store du chinois Baidu

Jen-Yu (Bill) Tsai, 4 mars 2019

Une application CCleaner remplie d’adwares.

Avast a récemment découvert qu’une nouvelle application mobile CCleaner frauduleuse avait été publiée sur l’App Store du chinois Baidu (百度手机助手), avec le statut de Version officielle certifiée (官方版).

Cela a immédiatement attiré notre attention, parce qu’Avast n’a publié aucune version officielle de l’application CCleaner sur l’App Store Baidu, et c’est comme ça que toute l’histoire a commencé.

L’App Store Baidu

Vous pouvez aisément voir que cette fausse application CCleaner est décrite sur la page Web de manière à tromper les utilisateurs et les pousser à la télécharger. Elle affirme être la Version officielle certifiée (官方版). Elle dispose également d’un titre chinois qui donne l’impression que l’application sur l’App Store Baidu est officielle. Il y a cependant une erreur de taille, puisqu’elle a été classée dans la catégorie « 办公学习 (utilitaires d’apprentissage de bureau) ». Une mauvaise évaluation est un autre signe de danger car, dans les autres App Stores à travers le monde, CCleaner est extrêmement bien noté.

1-fake-app-in-baidu

Une fausse application sur l’App Store Baidu

Analyse de la fausse application avec apklab.io

Avec la toute dernière plateforme de veille contre les menaces mobiles d’Avast, apklab.io, les chercheurs peuvent facilement voir les différences entre cette fausse application et le véritable CCleaner sans avoir recours à la rétro-ingénierie.

Comparaison des métadonnées de base des applications

En premier lieu, on remarque rapidement deux choses : 1) la fausse application est repackagée avec un nom d’application (CCleaner垃圾清理) et un nom de package (com.star.ccleaner) différents, et 2) un service supplémentaire a été ajouté à la fausse application.

2-manifest-fake

Faux manifeste (ci-dessus)

3-manifest-genuine

Vrai manifeste (ci-dessus)

De plus, comme vous pouvez le voir dans l’image ci-dessous, la fausse application CCleaner est signée à l’aide d’un certificat dont la clé privée a été divulguée.

4-fake-cert

Vous pouvez également constater que les informations de fichier relevées par apklab.io montrent des hachages et des tailles de fichier différents entre la fausse application CCleaner et l’authentique.

5-fake-file-info6-genuine-file-info

La fausse application comporte des métadonnées supplémentaires dans son fichier AndroidManifest.xml, comme on peut le voir ci-dessous :

7-additional-meta

Que fait cette fausse application CCleaner ?

L’application frauduleuse se sert de la bonne réputation de la version originale de CCleaner 4.11.1 et repackage celle-ci en y ajoutant des adwares afin de la monétiser de manière agressive auprès des utilisateurs de Chine continentale.

Approfondissons un peu

À l’aide de l’outil d’analyse statique Apklab.io, vous pouvez voir d’autres différences entre la véritable application CCleaner et la fausse. Les chercheurs peuvent facilement accéder directement aux sections qui les intéressent.

Pour commencer, voici un récapitulatif des bibliothèques supplémentaires incluses.

  • Umeng - Fournisseur chinois de solutions d’analyse des applications mobiles
  • Plateforme publicitaire Tencent - 腾讯广告
    • Package : com.qq.e
    • https://e.qq.com/ads/
  • Service de navigation Tencent - 腾讯浏览服务 (un wrapper WebView publié par Tencent)
  • U8SDK - Plateforme chinoise d’applications vidéoludiques
  • pay.sdk - Un SDK de paiement inconnu
  • erong - Un autre SDK de paiement inconnu

Sections intéressantes analysées par apklab.io

Vous pouvez aussi voir que la fausse application CCleaner comporte de nombreuses nouvelles sections qui n’existent pas dans l’originale.

8-executes-external-code

9-parsing-sms-list10-unique-device-id12-gets-the-phone-number13-installs-a-package


Suivies de nouvelles implémentations de bibliothèques repackagées qui ont été ajoutées

14-get-running-tasks15-running-tasks-top-priority16-running-app-processes17-loads-data-from-assets18-overlay-to-apps19-uses-encryption20-libraries

Autres chaînes ajoutées par les bibliothèques packagées

21-additional-strings-122-additional-strings-2

Le marché chinois clairement ciblé

Lorsque vous lancez cette fausse application, elle affiche quelques publicités au début, puis se bloque. Les utilisateurs peuvent donc l’exécuter, mais elle ne fonctionne pas complètement. Il est très probable que cette fausse application ne puisse être correctement exécutée que sur des appareils disponibles en Chine et dans un environnement de réseau chinois.

Que doivent faire les utilisateurs ?

À l’heure où j’écris cet article, nous avons découvert que Baidu est le seul App Store à avoir publié cette fausse application mobile CCleaner. Nous ne savons pas si elle continuera d’essayer d’être publiée sur d’autres boutiques, mais c’est tout à fait probable.

Bien que nous n’ayons pas observé de comportements particuliers au niveau de la racine ou en termes de ransomware, nous conseillons vivement aux utilisateurs de désinstaller cette fausse application immédiatement.

De plus, même si Google Play n’est pas accessible depuis la Chine continentale, nous pensons qu’il peut être utile de définir quelques règles de base pour éviter aux utilisateurs d’installer de fausses applications.

  • Consultez les avis
    Les utilisateurs devraient toujours lire les avis positifs et négatifs d’une application avant de la télécharger. Même si une application présente des avis positifs, il est généralement possible de deviner si ceux-ci sont véridiques ou non. Les avis positifs douteux peuvent indiquer qu’il vaut mieux ne pas faire confiance à une application.
  • Vérifiez le nom de l’éditeur
    En général, le nom en dit long… Jamais CCleaner ne publierait une application indiquant qu’elle a été développée par quelqu’un d’autre.
  • Vérifiez les autorisations des applications
    Une autre étape importante consiste à vérifier minutieusement les autorisations demandées par une application. Si une application demande des autorisations qui n’ont aucun sens et ne semblent pas nécessaires à son bon fonctionnement, les utilisateurs doivent y réfléchir à deux fois avant de la télécharger.
  • Vérifiez la catégorie
    Assurez-vous que l’application se trouve dans la bonne catégorie. Si ce n’est pas le cas, cela signifie probablement qu’elle est douteuse.
  • Vérifiez la description
    Est-ce que les performances et les promesses semblent largement excessives ? Si vous voyez des promesses extravagantes, restez sur vos gardes.
  • Au moindre comportement anormal, désinstallez l’application immédiatement

Avast a contacté l’App Store Baidu pour que cette fausse application soit retirée.

Fichiers analysés

Fausse application

com.star.ccleaner

db60d8a67057a9ee760c556575dd38206f430f5bca758dacdd4edbac6abeb98a

Vraie application

com.piriform.ccleaner

c7e92d7fa29ad8477dfed133b6e8d67233e575577673e6ce03ec5f3a8e24065a


Lien vers l’application sur Baidu : https://shouji.baidu.com/software/25583524.html

[ Mises à jour ]

Nous avons trouvé 2 autres App Stores Chinois ayant publié cette fausse application. L'un est hébergé par Tencent (应用宝) et l'autre est hébergé par 360 (360手机助手).

Le mauvais acteur a utilisé différentes combinaisons d’icônes et de noms d’application pour faire croire aux utilisateurs qu’il s’agissait de l’application officielle de CCleaner, en particulier des utilisateurs de Chine continentale qui ne connaissaient pas la véritable application CCleaner.

23-tencent-app-storeL'App Store Tencent (应用宝)

24-360-app-store

Le 360 App Store  (360手机助手)

Nouveaux indicateurs de compromis

Dans l'app store Tencent  (应用宝), il y a un éditeur nommé 河北三特网络科技有限公司. Il n'y a pas d'autres informations à propos de cette société, mais les utilisateurs peuvent voir cela comme un nouvel IoC (Indicateurs de Compromis) lors du téléchargement d'applications.

Nous avons contacté ces 2 App Stores afin d'obtenir la suppression de ces fausses applications.

Nouveaux liens analysés

Tencent: https://sj.qq.com/myapp/detail.htm?apkName=com.star.ccleaner

360: http://zhushou.360.cn/detail/index/soft_id/4027163?recrefer=SE_D_com.star.ccleaner


Avast est le leader mondial de la cybersécurité, protégeant des centaines de millions d’utilisateurs dans le monde entier. Protégez tous vos appareils avec notre antivirus gratuit primé.

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour toutes les dernières actualités, pensez à nous suivre sur Facebook et Twitter.