Google Play expulse un autre adware

Plus d’une douzaine d’apps ont été expulsées de Google Play après que des chercheurs ont découvert qu’il s’agissait de logiciels  légitimes recompilés et développés pour réaliser un affichage agressif de publicités sur les appareils Android des utilisateurs.

D’après Zscaler, ce nouvel adware malveillant tente de tromper l’utilisateur afin que celui-ci lui octroie les autorisations d’administrateur. Une fois qu’il a obtenu ces autorisations, l’adware commence à afficher des publicités sur l’ensemble de l’écran de l’appareil, à ouvrir des liens dans le navigateur, à lancer des vidéos Youtube, à ouvrir des apps installées et à générer des liens sur l’écran d’accueil.

Les apps potentiellement dangereuses qui figuraient sur Google Play contenaient plusieurs jeux, des éditeurs de photo, des lecteurs de QR Code et des boussoles électroniques. Quatre de ces apps ont été téléchargées entre 10 000 et 50 000 fois. Gaurav Shinde, expert sur les menaces pour Android, écrit dans le blog de Zscaler que « l’analyse initiale indique que ces apps ne possèdent pas de fonctions qui requièrent les autorisations d’administrateur sur l’appareil ».

Selon les propos de l’expert, la majorité des paquets d’app analysés par Zscaler contenait une version piratée d’une app légitime. Par exemple, un fichier APK portant le nom de paquet com.ndk.taskkiller contenait une version piratée des apps Battery Saver HD et Task Killer (pour économiser la batterie).

Le code malveillant intégré à cette copie permet à l’application malveillante de communiquer avec le centre de commande des attaquants. « Une fois installées, ces apps se connectent au serveur de commande indiqué dans les paramètres et exécutent les commandes qu’elles reçoivent » écrit Gaurav Shinde.

La première commande exécutée par l’adware est la demande des autorisations d’administrateur. Pour convaincre l’utilisateur de lui donner ces autorisations, le malware crée un faux menu de configuration Android et propose à l’utilisateur d’activer Plus Service. « Si l’utilisateur octroie les autorisations d’administrateur à l’app, celle-ci ne pourra être supprimée que quand ces autorisations auront été révoquées » explique Gaurav Shinde.

Pour déjouer les mesures de protection mises en place par Google Play, les individus malintentionnés ont inséré les paquets malveillants dans le paquet Android GMS original. Gaurav Shine explique que « l’emplacement du code malveillant requiert notre attention. Le paquet com.google.android.gms est un paquet original utilisé par Google Mobile Services (GMS). Dans le cas qui nous occupe, un paquet portant le nom logs afin de déjouer les outils de détection est introduit dans le paquet ».

Toutes les lignes du code malveillant sont obfusquées. « La technique de chiffrement adoptée est simple, mais elle est efficace. Après le déchiffrement de toutes les lignes du code, celui-ci a dévoilé l’ensemble de ses secrets. »

Ainsi, les experts ont découvert la possibilité de télécharger dynamiquement un fichier dex complémentaire contenant du code qui, une fois exécuté, lit des vidéos précises sur Youtube, afin de générer un revenu pour les auteurs de ces vidéos. La capacité de télécharger et d’activer des fichiers .dex permet à l’individu malintentionné d’exécuter un code aléatoire envoyé depuis le serveur de commande. Comme l’explique Deepen Desai, directeur des enquêtes et des opérations chez Zscaler : « Il est intéressant de constater que ce fichier dex n’est pas repris dans l’app d’origine, mais qu’il est téléchargé pendant l’exécution. Cela signifie que l’éditeur de l’app peut à tout moment modifier le code de secondlib.dex et qu’il sera exécuté sur l’appareil sans que l’utilisateur ne doive mettre à jour l’app. »

Parmi les fonctions malveillantes masquées, il y a également le mode d’attente pour le composant adware : il n’affiche aucune activité pendant une période de six heures après l’installation. D’après les experts, cette astuce permet à l’app malveillante d’éviter la détection via l’analyse VerifyApps sur Google Play. Le fait est que lors de l’analyse, VerifyApps lance l’app uniquement pendant quelques minutes afin d’analyser son comportement.

Le nouveau malware peut également recevoir des commandes d’affichage/de dissimulation de son icône depuis le serveur de commande, ce qui permet de confondre l’utilisateur. Le billet publié dans le blog de Zscaler précise que « l’icône de l’app est masquée si l’app n’a pas été utilisée pendant cinq jours. Dans la majorité des cas, cela suffit pour que l’utilisateur ne devine pas d’où viennent ces publicités énervantes ».

Google n’a pas répondu aux questions de Threatpost.

D’après Deepen Desai, les apps potentiellement dangereuses ont été supprimées de Google Play dans les 24 heures qui ont suivi l’apparition de la première d’entre elles. Ces apps n’ont été observées que dans le magasin Google, si l’on ignore les vidéos sur Youtube dont la promotion est assurée par le malware. « Nous avons découvert une vidéo Youtube pour le jeu Eight Note Jump, devenu populaire au cours du dernier mois. Dans la description de cette vidéo, l’auteur proposait un lien de téléchargement qui pointait vers une des apps malveillantes » explique Deepen Desai.

Source : Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *