Des analystes de la cybersécurité ont découvert deux applications de gestion de fichiers disponibles sur le Google Play Store qui sont en fait des logiciels espions, mettant en danger la confidentialité et la sécurité de jusqu'à 1,5 million d'utilisateurs d'Android.Deux applications de gestion de fichiers disponibles sur le Google Play Store se sont révélées être des logiciels espions, mettant en danger la vie privée et la sécurité de plus de 1,5 million d’utilisateurs Android. Ces applications se lancent sans le consentement des utilisateurs et collectent discrètement des données sensibles qu’elles envoient à des serveurs malveillants basés en Chine.
Les applications en question sont File Recovery & Data Recovery et File Manager, selon une alerte publiée par Pradeo, une entreprise évoluant dans la cybersécurité mobile. Les applications, toutes deux du même développeur, sont programmées pour abuser des permissions accordées par les utilisateurs lors de l’installation et pour dissimuler leurs icônes sur l’écran d’accueil, rendant leur désinstallation plus difficile.
File Recovery & Data Recovery a été téléchargée plus d’un million de fois, et environ 500 000 personnes ont installé File Manager, selon des captures d’écran de leurs pages respectives sur le Play Store partagées dans le rapport de Pradeo.
Le développeur derrière les deux applications est listé comme Wang Tom dans les captures d’écran du Play Store. Donc, si vous trouvez plusieurs applications nommées File Manager dans le Play Store, seule celle avec le développeur Wang Tom a été trouvée être un logiciel espion.
L’analyse comportementale de Pradeo a révélé que les applications exfiltrent les données suivantes :
- contacts enregistrés dans l’appareil ;
- contacts des comptes de messagerie et des réseaux sociaux ;
- images, les fichiers audio et vidéo compilés dans l’application ;
- localisation en temps réel de l’utilisateur ;
- marque et le modèle de l’appareil ;
- code du pays du mobile ;
- nom du fournisseur de réseau ;
- numéro de version du système d’exploitation.
Tout cela sans jamais demander la permission de collecter ces informations. Alors que les applications peuvent avoir une raison légitime de collecter certaines des données ci-dessus pour optimiser leurs performances et assurer la compatibilité entre les appareils, la plupart d’entre elles ne sont pas nécessaires pour les opérations de gestion de fichiers et de récupération de données. Encore plus alarmante est la quantité de données transférées à l’insu de l’utilisateur. Chaque application effectue plus d’une centaine de transmissions, « une quantité qui est si importante qu’elle est rarement observée », note Pradeo.
Pour augmenter leur succès, les développeurs de ces logiciels espions ont utilisé des techniques sournoises pour apparaître plus fiables et performants, ce qui rendait difficiles leur détection et leur suppression. « Les deux logiciels espions montrent une grande population d’utilisateurs, mais n’ont aucun avis. Nous pensons que le pirate a utilisé une ferme d’installation ou des émulateurs de périphériques mobiles pour simuler ces chiffres, augmentant ainsi le classement apparent de ses applications dans les listes de catégories des magasins et leur légitimité apparente », a écrit Roxane Suau, la chercheuse de Pradeo qui a découvert les logiciels espions dans un billet de blog.
Cette théorie est étayée par le fait que le nombre d'avis d'utilisateurs sur le Play Store est bien trop faible par rapport à la base d'utilisateurs signalée. Il est toujours recommandé de vérifier les avis des utilisateurs avant d'installer une application, de prêter attention aux autorisations demandées lors de l'installation de l'application et de ne faire confiance qu'aux logiciels publiés par des développeurs réputés.
Envoyé par Pradeo
Comportements sournois utilisés par le pirate pour augmenter son succès
- Avoir l'air légitime : lorsque nous naviguons sur les magasins d'applications, nous avons tendance à penser que les applications qui ont été largement installées sont fiables et performantes. Dans ce cas, les deux logiciels espions affichent une grande population d'utilisateurs, mais n'ont aucun avis. Nous pensons que le pirate a utilisé une ferme d'installation ou des émulateurs d'appareils mobiles pour simuler ces chiffres, ce qui a permis à ses applications d'être mieux classées dans les listes de catégories des magasins et d'accroître leur légitimité apparente.
- Nécessite moins d'interaction de la part de l'utilisateur : souvent, les utilisateurs installent des applications qu'ils n'utilisent même pas. Pour la plupart des logiciels malveillants, cela signifie que l'attaque a échoué. Pour surmonter cet obstacle, File Manager et File Recovery & Data Recovery peuvent, grâce aux autorisations avancées qu'ils utilisent, provoquer le redémarrage de l'appareil. Cela permet ensuite aux applications de se lancer et de s'exécuter automatiquement au redémarrage.
- Empêcher la désinstallation : Il est courant de croire que sur un appareil mobile, toutes les applications sont visibles sur l'écran d'accueil. Cependant, ce n'est pas le cas et une application peut simplement masquer son icône de la vue générale. Ces deux logiciels malveillants utilisent cette technique pour rendre leur désinstallation plus difficile. Pour les supprimer, les utilisateurs doivent accéder à la liste des applications dans les paramètres.
Si vous avez installé l’une ou l’autre de ces applications sur votre téléphone Android, il est vivement conseillé de les supprimer dès que possible.
Source : Pradeo
Et vous ?
Avez-vous déjà utilisé l’une de ces applications-espionnes ? Que pensez-vous de la réaction de Google face à cette découverte ? Quelles mesures prenez-vous pour protéger votre vie privée et votre sécurité sur votre téléphone Android ? Avez-vous entendu parler d’autres applications malveillantes qui se cachent sur le Google Play Store ? Quels sont les risques potentiels de l’envoi de vos données à des serveurs en Chine ? 
