2 millions d’utilisateurs Android infectés via des applications du Play Store

Bien qu’il existe un certain processus d’approbation des applications sur le marché officiel des applications pour Android, un « malware » baptisé « FalseGuide » s’est glissé au travers des mailles du filet. En effet, l’équipe de recherche en cyber sécurité axée sur appareils mobiles de Check Point Software Technologies a découvert la menace et a confirmé sa présence derrière plus de 40 applications différentes disponibles sur le Google Play Store. Il a fallu environ 5 mois avant que celles-ci ne soient dénoncées à Google, et par le fait même, retirées du marché d’applications. L’équipe de Check Point estime le nombre total d’utilisateurs infectés aux environs de 2 millions.

Qu’entend-t-on par utilisateur infecté ?

Le logiciel malveillant FalseGuide tombe sous la catégorie des « botnets ». Un botnet est un vaste réseau de machines infectées contrôlées à distance en totalité ou en partie par un ou plusieurs cybercriminels. Chaque machine infectée devient un « zombie » qui exécute les moindres commandes qui lui sont transmises via un médium distant. Plus précisément, FalseGuide fait partie de la catégorie des botnets silencieux, c’est-à-dire qu’il opère à l’insu du propriétaire de l’appareil infecté en utilisant le moins de ressources possibles. Lorsque téléchargé depuis le Play Store, il requiert diverses permissions dont une qui sort de l’ordinaire : les droits d’administrateurs de l’appareil. Si l’utilisateur moyen, ne portant généralement pas attention aux permissions demandées lors de l’installation, accepte les conditions d’utilisation, il atteindra un point de non-retour. En effet, le malware se sert de cette permission pour empêcher l’utilisateur de supprimer l’application. Une fois installé, FalseGuide s’enregistre de façon autonome dans Firebase Cloud Messaging (FCM) au sujet correspondant au nom de l’application d’où il reçoit des messages contenant des liens lui permettant d’installer des modules supplémentaires de façon transparente à l’utilisateur.

L’équipe de Check Point a pu analyser un de ces modules pour établir que le botnet est utilisé afin d’afficher du contenu publicitaire à des emplacements non conventionnels. Les modules installés sont mis en fonctions grâce à un service qui est lancé au démarrage de l’appareil, donc sont constamment actifs. Ce genre de structure polymorphique est hautement dangereuse, parce qu’à tout moment, un nouveau module peut être installé et ainsi utiliser la cible à des fins passablement plus graves comme des attaques par déni de service distribué (DDoS) et même pénétrer des réseaux privés. Cependant, peu importe l’utilisation qu’un attaquant en fait, la mise en œuvre d’un botnet est considéré comme criminel, puisqu’il fait un usage interdit de matériel et mène à une panoplie d’autres offenses envers la personne et/ou des entreprises.

Pourquoi le Play Store ne détecte-t-il ces applications frauduleuses ?

Contrairement au AppStore de Apple qui procède à des vérifications humaines du fonctionnement de toutes ses applications, le Google Play Store, lui, procède plutôt à une vérification à l’aide de tests automatisés des applications qu’il propose. Le code de base des applications frauduleuses FalseGuide soumises sur le Google Play Store ne contient en fait aucun module malveillant à proprement parler. C’est pourquoi les filtres automatiques du marché d’application Android ne les détectent pas comme frauduleuses. Ce n’est qu’une fois bien installé dans l’appareil que le malware installe de lui-même des modules supplémentaires de nature malicieuse. C’est fort probablement une des raisons pour laquelle le malware a pu opérer sous le silence pendant plus 5 mois sans se faire remarquer.

Comment atteindre autant d’appareils en si peu de temps ?

Comme son nom l’indique, FalseGuide se déguise en guide pour un jeu en particulier. En temps normal, ce genre d’application sert de facilitateur au joueur, en lui offrant certains conseils et autres informations pratiques concernant le jeu. Ce type d’application est généralement très populaire, puisqu’il s’accroche au succès phénoménal que connait le jeu dont il opère comme guide. Dans le cas présent, plusieurs jeux concernés sont des têtes de marché dans le monde du mobile donc attirent énormément de cibles potentielles. Par exemple, Pokemon Go, FIFA 2017, Criminal Case et plusieurs autres. Non seulement les guides de jeu sont populaires, mais ils sont surtout sommairement très simples d’implémentation. Pour un développeur de logiciel malveillant, cela signifie l’atteinte d’un maximum de cibles avec un minimum d’effort.

Qui est à l’origine de l’attaque ?

Le lot d’applications frauduleuses a été soumis par 3 comptes Google différents, tous d’origines russes en apparence et remonte à aussi tôt que novembre 2016. Il s’agit d’Анатолий Хмеленко (Anatoly Khmelenko), Sergei Vernik et Nikolai Zaplupkin. Toutefois, comme l’indique l’article officiel de Check Point, le dernier est clairement un nom inventé pour quelqu’un qui parle le Russe, donc on ne peut pas encore affirmer avec certitude que l’attaque provienne de la Russie.