En une seule mise à jour, une app malveillante a détourné des millions d’appareils

En une seule mise à jour, une app malveillante a détourné des millions d'appareils

En une seule mise à jour, une application populaire de lecture de codes-barres sur Google Play s’est transformée en logiciel malveillant et a pu détourner jusqu’à 10 millions d’appareils.

Le lecteur de codes-barres de Lavabird Ltd. était disponible sur le Google Play Store depuis des années. L’application Android, qui comptabilise plus de 10 millions d’installations, propose un lecteur de QR codes et un générateur de codes-barres – un service utile pour les appareils mobiles.

Jusqu’à récemment, cette application mobile semblait être un logiciel légitime et digne de confiance, ses nombreux utilisateurs l’ayant installée il y a des années n’ayant jamais eu aucun problème.

publicité

Apparition de publicités inattendues

Selon Malwarebytes, les utilisateurs ont récemment commencé à se plaindre de l’apparition inattendue de publicités sur leurs appareils Android. Il arrive souvent que des programmes indésirables, des publicités et de la publicité malveillante soient liés à l’installation de nouvelles applications, mais dans cet exemple, les utilisateurs ont signalé qu’ils n’avaient rien installé récemment.

Après enquête, les chercheurs ont désigné le lecteur de codes-barres comme étant le coupable.

Malwarebytes

Une mise à jour du logiciel, publiée vers le 4 décembre 2020, a modifié les fonctions de l’application afin de permettre le push advertising sans avertissement. Alors que de nombreux développeurs intègrent des publicités dans leurs logiciels afin de pouvoir offrir des versions gratuites – et que les applications payantes n’affichent tout simplement pas de publicité – ces dernières années, le passage du jour au lendemain des applications de ressources utiles aux logiciels publicitaires est de plus en plus fréquent.

« Les SDK publicitaires peuvent provenir de diverses sociétés tierces et constituer une source de revenus pour le développeur de l’application. C’est une situation gagnante pour tout le monde », fait remarquer Malwarebytes. « Les utilisateurs obtiennent une application gratuite, tandis que les développeurs d’applications et les développeurs de SDK publicitaires sont payés. Mais de temps en temps, une société de SDK publicitaire peut changer quelque chose de son côté et les publicités peuvent commencer à devenir un peu agressives. »

Google a retiré l’application du Play Store

Parfois, des pratiques publicitaires “agressives” peuvent être le fait de tiers, mais ce n’était pas le cas pour le lecteur de codes-barres. Au contraire, les chercheurs affirment que le code malveillant a été poussé dans la mise à jour de décembre et fortement dissimulé pour ne pas être détecté. La mise à jour a également été signée avec le même certificat de sécurité que celui utilisé dans les versions précédentes et propres de l’application Android.

Malwarebytes a fait part de ses découvertes à Google. Le géant du web a maintenant retiré l’application de son magasin d’applications. Cependant, cela ne signifie pas que l’application va disparaître des appareils concernés, et les utilisateurs doivent donc désinstaller manuellement l’application désormais malveillante.

La transformation de SDK propres en paquets malveillants n’est qu’une des méthodes employées pour éviter la protection de Google Play, avec des contrôles de temps, de longs temps d’affichage, la compromission des bibliothèques open source utilisées par une application et le chargement dynamique également cité comme moyen potentiel pour que les attaquants puissent compromettre votre appareil mobile.

Une autre méthode intéressante, repérée par Trend Micro, est la mise en place d’un contrôle par capteur de mouvement. En 2019, on a découvert que les applications utilitaires Android contenaient le cheval de Troie bancaire Anubis, et que ce dernier ne se déployait que lorsqu’un utilisateur déplaçait son téléphone.

Source : ZDNet.com

Leave a Reply

Your email address will not be published. Required fields are marked *