Archives par mot-clé : google play

Android, Arnaque, backdoor, Communiqué de presse, Cybersécurité, Mise à jour, Particuliers, Patch, Sécurité, Securite informatique, Smartphone, Téléphonie

Le spyware Igexin infecte plus de 500 app mobiles sur Google Play

Les applications infectées par Igexin ont été téléchargées plus de 100 million de fois dans l’écosystème Android.

L’équipe de recherche de Lookout, le leader mondial de la sécurisation de la mobilité vient d’annoncer dans un article de blog la mise à jour d’un SDK publicitaire appelé Igexin qui a infecté plus de 500 applications mobiles légitimes du portail Google Play afin de permettre l’installation d’un spyware sur les smartphones et tablettes.

Igexin permettait d’installer sur les appareils un plugin espionnant les actions des utilisateurs et, l’équipe de spécialistes en sécurité mobile de Lookout confirme que ce sont au moins 500 applications Android qui sont concernées et que celles-ci ont été téléchargées plus de 100 millions de fois dans l’écosystème Android.

Les applications android concernées incluaient des jeux (dont l’un téléchargé plus de 50 millions de fois), des applications météorologiques (dont une téléchargée plus de 1 million de fois), des webradios, des éditeurs de photographie (dont l’un téléchargé plus de 1 million de fois) ou encore des applications utilitaires.

L’équipe de spécialistes en sécurité mobile de Lookout a notamment observé le téléchargement de fichiers chiffrés depuis Igexin permettant l’installation a posteriori de malwares en contournant les mécanismes de surveillance habituels détectant la présence de logiciels malveillants dans les applications disponibles sur le portail de Google Play.

Les utilisateurs de Lookout sont protégés de ce spyware. Lookout a informé Google des fonctionnalités d’Igexin, et les applications ont été enlevées du portail Google Play, ou remplacées par des versions mises à jour ne contenant ce spyware invasif. Plus de renseignements sur Igexin peuvent être retrouvés dans l’article de blog.

Android, Cyber-attaque, Cybersécurité, escroquerie, ID, Identité numérique, Mise à jour, Particuliers, Patch, Piratage, Smartphone, Social engineering, Téléphonie

Judy : Potentiellement la plus grande campagne de malwares détectée sur Google Play

Les chercheurs de chez Check Point viennent de découvrir une nouvelle menace baptisée JUDY, passée sous le radar de la sécurité de Google Play.

Ce malware de publicité frauduleuse est contenu dans 41 applications d’une société Coréenne. Son principe est simple : il produit un grand nombre de clics sur de la publicité, et génère ainsi un revenu important pour les créateurs des applications malveillantes. Check Point estime le nombre de victimes entre 4,5 et 18 millions. Le code malicieux est présent sur Google Play depuis des années, mais il est impossible de savoir depuis quand exactement.

Les applications malveillantes ont atteint un écart étonnant entre 4,5 millions et 18,5 millions de téléchargements. Certaines des applications découvertes résident sur Google Play pendant plusieurs années, mais toutes ont été récemment mises à jour. On ne sait pas combien de temps existe le code malveillant dans les applications, d’où la diffusion réelle du malware reste inconnue.

backdoor, Banque, Chiffrement, cryptage, Cybersécurité, Entreprise, Paiement en ligne

Applications bancaires : La France touchée par le code Acecard

Le Trojan Acecard menace les utilisateurs de plus de 30 applications bancaires et de paiement sur Android. La France dans le top 5 des pays les plus touchés.

L’équipe de recherche antimalware de Kaspersky Lab a détecté l’un des chevaux de Troie bancaires les plus dangereux jamais observés sur la plate-forme Android. Le malware Acecard est en effet capable de s’attaquer aux utilisateurs de près d’une cinquantaine d’applications et de services de finance en ligne, en contournant les mesures de sécurité de Google Play.

Au cours du troisième trimestre 2015, les experts de Kaspersky Lab ont repéré une augmentation inhabituelle du nombre d’attaques contre des services bancaires mobiles en Australie. Cela leur a paru suspect et très vite ils ont découvert que cette recrudescence était principalement imputable à un seul et même Trojan bancaire : Acecard.

La famille de chevaux de Troie Acecard utilise la quasi-totalité des fonctionnalités malveillantes aujourd’hui disponibles, qu’il s’agisse de s’approprier les messages (textes ou vocaux) d’une banque ou de superposer aux fenêtres des applications officielles de faux messages qui simulent la page d’authentification officielle afin de tenter de dérober des informations personnelles et des identifiants de compte. Les plus récentes versions de la famille Acecard peuvent s’attaquer aux applications clients d’une trentaine de systèmes bancaires et de paiement. Sachant que ces chevaux de Troie sont en mesure de maquiller toute application sur commande, le nombre total d’applications financières attaquées est peut-être bien supérieur.

En dehors des applications bancaires, Acecard peut détourner les applications suivantes avec des fenêtres de phishing :

·         messageries instantanées : WhatsApp, Viber, Instagram, Skype ;
·         réseaux sociaux : VKontakte, Odnoklassniki, Facebook, Twitter ;
·         Client de messagerie Gmail ;
·         application mobile PayPal ;
·         applications Google Play et Google Music.

Le malware, détecté pour la première fois en février 2014, n’a cependant montré pratiquement aucun signe d’activité malveillante pendant une période prolongée. Tout a changé en 2015 lorsque les chercheurs de Kaspersky Lab ont remarqué un pic dans les attaques : de mai à décembre 2015, plus de 6000 utilisateurs ont été ciblés par ce cheval de Troie, la plupart d’entre eux se trouvant en Russie, Australie, Allemagne, Autriche et France.

Pendant leurs deux années d’observation, les chercheurs de Kaspersky Lab ont été témoins du développement actif du cheval de Troie. Ils ont ainsi enregistré au moins dix nouvelles versions du malware, chacune présentant une liste de fonctions malveillantes nettement plus longue que la précédente.

Applications bancaires : Google Play attaqué
Les appareils mobiles ont généralement été infectés après le téléchargement d’une application malveillante imitant une application authentique. Les variantes d’Acecard sont généralement diffusées sous le nom de Flash Player ou PornoVideo, même si d’autres appellations sont parfois employées dans le but de les faire passer pour des logiciels utiles et répandus.

Il ne s’agit toutefois pas de la seule méthode de diffusion de ce malware. Le 28 décembre 2015, les experts de Kaspersky Lab ont repéré une version du module de téléchargement d’Acecard – Trojan-Downloader.AndroidOS.Acecard.b – sur la boutique officielle Google Play. Le cheval de Troie se propage sous l’apparence d’un jeu. Une fois le malware téléchargé depuis Google Play, l’utilisateur ne voit qu’une icône Adobe Flash Player sur le bureau et aucune trace de l’application installée.

Qui se cache derrière Acecard ?
Après avoir étudié de près le code malveillant qui se cache dans ces Applications bancaires, les experts de Kaspersky Lab sont enclins à penser qu’Acecard est l’œuvre du même groupe de cybercriminels déjà responsable du premier cheval de Troie TOR pour Android, Backdoor.AndroidOS.Torec.a, et du premier ransomware de cryptage mobile, Trojan-Ransom.AndroidOS.Pletor.a.

Cette conclusion s’appuie sur la présence de lignes de code similaires (noms de méthodes et de classes) et l’utilisation des mêmes serveurs de commande et de contrôle (C&C). Cela tend à prouver qu’Acecard a été créé par un groupe criminel puissant et chevronné, très probablement russophone.

« Ce groupe cybercriminel utilise pratiquement chaque méthode existante pour propager le Trojan bancaire Acecard. Celui-ci peut être diffusé sous l’aspect d’un autre programme, via des boutiques d’applications officielles, ou par l’intermédiaire d’autres chevaux de Troie. Une caractéristique distinctive de ce malware est sa capacité à se superposer à plus de 30 systèmes bancaires et de paiement en ligne mais aussi des applications de réseaux sociaux, de messagerie instantanée ou autres. La combinaison des capacités et des modes de propagation d’Acecard font de ce cheval de Troie bancaire mobile l’une des menaces les plus dangereuses pour les utilisateurs aujourd’hui », avertit Roman Unuchek, analyste senior en malware chez Kaspersky Lab USA.

Afin de prévenir une infection, quelques recommandations :
–          Ne pas télécharger ou/et installer d’applications depuis Google Play ou des sources internes si elles ne sont pas dignes de confiances ou ne peuvent être traitées comme telles.
–          Ne pas consulter de pages web suspectes présentant des contenus particuliers et ne pas cliquer sur des liens suspects.
–          Installer une solution de sécurité fiable sur les appareils mobiles, par exemple Kaspersky Internet Security for Android.
–          Veiller à ce que les bases de données antivirales soient à jour et fonctionnent correctement.

Android, Cybersécurité, Smartphone, Virus

60 jeux sur Google Play piégés

3 commentaires

Un logiciel d’espionnage caché dans une soixantaine de jeux diffusés sur le Google Play.

Selon les chercheurs de l’éditeur d’antivirus Dr.Web, la boutique Google Play serait de moins en moins fiable. Une nouvelle fois, plus de 60 jeux Android sont disponibles sur la plate-forme appartenant au géant de l’Internet, cache le cheval de Troie Xiny, un logiciel espion qui se charge d’envoyer les données d’un téléphone infiltré à un inconnu, quelque part sur Internet. Près de 30 développeurs différents seraient responsables de ces jeux. Cependant, les jeux sont si semblables que ceux-ci semblent être proposées par la même source. Les informations volées incluent les codes IMEI et IMSI des téléphones infiltrés, ainsi que les adresses MAC, la position GPS, le type de carte mémoire dans l’ordiphone.

Cependant, ce malware ne peut pas obtenir les privilèges « root ». Il est suffisamment puissant pour bloquer le dispositif et aider l’attaquant à acquérir plus de contrôle sur l’appareil. Il a été remarqué que cette infiltration usée d’une technique de stéganographie pour le déploiement des applications malveillantes. Xiny est « emballé » dans d’autres applications Android à l’intérieur d’une image PNG et n’utilise pas de connexion HTTPS. Le téléchargement via HTTPS faisant tendre l’oreille des chercheurs et outils de sécurité.

Android, Argent, backdoor, Cybersécurité, escroquerie, Espionnae, Facebook, ID, Identité numérique, Leak, Particuliers, Piratage, Sécurité, Smartphone, Téléphonie, Vie privée

Deux applications malveillantes dans 1 million de smartphones

Deux applications pour smartphone et tablette Android, Cowboy Adventure et Jump Chess, cachaient en leur sein un outil d’interception de données pour se connecter aux réseaux sociaux des joueurs piégés.

Des logiciels pour smartphone (ordiphone, NDR) et tablette, Google Play en propose des centaines de milliers. Dans le lot, des brebis galeuses à l’image des jeux proposés par l’éditeur Tinker Studio. L’entreprise, totalement inconnue et inexistante sur Internet, diffusait depuis avril 2015, un jeu de plateforme. Vous étiez représenté par un « Indiana Johns » et vous deviez récupérer des diamants à la sauce Mario Bros. Le jeu, pas vraiment original, offrait cependant de joli graphisme et une musique attrayante.

Le 16 mai 2015, Data Security Breach constatait que l’application était considérée comme « non dangereuse » par 56 antivirus. C’est du moins ce que tentait de faire croire les malveillants derrières cette application et les sites qu’ils utilisaient pour diffuser leurs microbes.

A noter que les mêmes créateurs avaient édité Jump Chess 1.1. Lui aussi, soit disant « safe », lui aussi diffusé par des dizaines de sites Internet spécialisé dans les applications Android. Sites qui ne vérifient en rien les contenus qu’ils diffusent. Jeu d’échec lui aussi piégé. C’est d’ailleurs l’éditeur ESET qui va tirer la sonnette d’alarme.

Les deux applications récupérées les informations permettant de se connecter à Facebook. 1.000.000 copies auraient été téléchargées selon l’éditeur d’antivirus. Des logiciels qui ont depuis été retirés du Google Play Store.

La méthode du pirate était simple. Une fausse page Facebook s’affichait dans le menu du jeu. L’internaute ainsi piégé rentrait ses identifiants de connexion. Autant dire que le « pirate » a pu engranger énormément de comptes Facebook.

Il est fortement conseillé, surtout si vous avez téléchargez le jeu de plateforme ou le jeu d’échec, d’effacer les programmes de votre téléphone, de votre tablette, mais aussi et surtout de changer votre mot de passe Facebook (Profitez-en pour utiliser la double authentification, NDR). A noter que l’escroc est un malin, il en a profité pour jouer avec un bug sur Google Play qui permet de mettre n’importe quelle information à l’écran. Bilan, facile d’afficher son appartenance aux éditeurs du Google Play aux yeux qui ne connaissent pas les finesses économiques et commerciales du géant de l’Internet. Voici l’exemple de Data Security Breach (sans danger) qui prouve une facilité de manipulation.

Android, Sécurité, Smartphone, Virus

13 adwares ont réussi à s’infiltrer dans Google Play

Un commentaire

Malheureusement, il convient de reconnaître que même les systèmes de validation d’applications des stores officiels ne sont pas parfaits. Lookout a détecté 13 nouveaux cas, ou applications, renfermant des adwares dans Google Play. Certains comportent des caractéristiques s’apparentant à celles des codes malveillants et se font même passer pour Facebook ; une fois installés il est alors difficile de les supprimer du smartphone.

Au cours du mois dernier, un certain nombre de rapports portant sur les adwares détectés dans Google Play ont été publiés. Au début du mois de février, des investigateurs ont constaté trois cas d’adwares qui ne commençaient à se comporter de façon malveillante, en présentant intempestivement à leurs victimes des publicités, que 30 jours après leur installation. De plus, ils forçaient les utilisateurs à ouvrir des pages Web dont le contenu pouvait s’avérer dangereux. À la fin du même mois, ces investigateurs ont découvert 10 autres cas d’adwares dont les comportements étaient similaires.

Deux familles d’adwares appelés HideIcon et NotFunny se sont cachées parmi les 13 nouveaux cas détectés par Lookout. Au total, selon les chiffres de téléchargement divulgués par Google, ces logiciels ont été téléchargés entre 130 000 et un demi-million de fois. Découvrons à présent ces dernières menaces en date :

HideIcon
Nombre de cas détectés : 1
HideIcon présente effectivement des caractéristiques s’apparentant aux logiciels malveillants car, une fois installé sur le smartphone, il fera exactement ce que son nom suggère : il cachera l’icône. Cela peut ne pas sembler dramatique, toutefois il est nettement plus difficile de supprimer une application sur votre smartphone si vous ne savez pas qu’elle y est installée. Après avoir caché son icône, des variantes d’HideIcon forceront l’affichage intempestif de publicités sur l’écran de l’utilisateur, ce qui pourra perturber son expérience. L’application ne semble proposer aucune modalité de service ni aucune valeur ajoutée pour l’utilisateur. Cheetah Mobile a été le premier à détecter cet adware en janvier. Google a supprimé cinq applications douteuses l’abritant, et pourtant HideIcon a réussi à s’infiltrer dans le système de Google Play via une autre application. Comment s’est-il présenté ? L’application prétend être un jeu de carte accompagné de ses consignes de jeu telles que reprises dans Google Play. Au moment de sa suppression par Google, 1 000 à 5 000 téléchargements avaient déjà été effectuées.

NotFunny
Nombre de cas : 12
NotFunny comporte deux parties: un « injecteur » et une « charge utile » ou le logiciel malveillant lui-même. L’injecteur se cache dans des applications de type « application gratuite de sonneries de Noël », des applications de fonds d’écran, des applications de faux pointeur, et d’autres encore. Quand une victime télécharge une de ces applications et la lance, l’injecteur l’invite à télécharger la charge utile. Cette application de charge utile prétend être Facebook, fait apparaître une icône Facebook sur l’écran d’accueil du smartphone et demande à l’utilisateur de lui accorder un certain nombre d’autorisations, dont notamment l’accès à ses informations personnelles, aux services payants, à ses messages et à sa position. Une fois l’installation terminée, la charge utile cache son icône. Comme la plupart des logiciels publicitaires, la charge utile force l’affichage de publicités intempestives sur le smartphone, ce qui peut perturber l’expérience de l’utilisateur. Le code est assez rudimentaire et n’indique pas qu’un adversaire sophistiqué se cache derrière la menace

Lookout a trouvé 12 cas différents de NotFunny dans Google Play, en provenance d’un certain nombre de comptes de développeurs différents. Nous ne savons pas si une ou plusieurs personnes sont derrière lesdits comptes. Les thèmes des applications parmi lesquelles nous l’avons trouvé allaient des « changeur de voix amusants » aux outils qui changent prétendument votre widget de batterie en une cigarette allumée.

Il est facile d’imaginer qu’une personne ayant récemment fait l’acquisition d’un nouveau smartphone se décide à télécharger de nouvelles applications amusantes, comme les susnommées, afin de personnaliser son expérience utilisateur. Après que Google ait retiré un premier groupe d’applications, le développeur en a téléchargé à nouveau deux autres, cette fois sans l’adware. On peut donc penser que le développeur avait inséré le logiciel douteux dans l’application sans en connaître ses propriétés malveillantes ou qu’il n’avait pas compris les règles de Google. Bien sûr, il se peut aussi que le développeur se soit rendu compte qu’il ne s’en tirerait pas si facilement.

Peut-on faire confiance au Google Play ?
En un mot, oui. Il faut que tous les membres du secteur joignent leurs forces afin d’être en mesure d’assurer la sécurité d’un marché d’applications, et Google travaille avec diligence avec les entreprises de sécurité pour s’assurer de la qualité des applications mises à disposition dans Google Play. Quand une application malveillante se glisse cependant aux travers des mailles du filet, Google la supprime le plus rapidement possible. À dire vrai, la bataille de la sécurité pour garantir la sûreté de nos appareils se mène sur plusieurs fronts.

Précautions à prendre pour optimiser sa sécurité
Lisez les avis des autres utilisateurs avant de télécharger une application. Si la majorité dit : « Cette application n’arrête pas d’afficher des pubs ! » ou tout autre commentaire négatif, doutez de la légitimité de l’application

Téléchargez des applications créées par des développeurs réputés ou de confiance. Si vous avez des doutes quant à une application, cherchez à en savoir plus sur son développeur

Assurez-vous d’installer une application de sécurité qui peut détecter les menaces telles que les logiciels publicitaires avant que ceux-ci ne vous perturbent

Lisez attentivement les autorisations que l’application vous demande avant de l’installer.

Supprimer un adware
Si une application a caché son icône, vous pouvez procéder de deux façons pour la désinstaller de votre appareil Android. Supprimez-la dans le menu des paramètres :

1. Accédez au menu des paramètres de votre appareil sous Android
2. Sélectionnez « Applications » ou « Gestionnaire d’applications »
3. Recherchez l’application que vous souhaitez désinstaller et appuyez dessus
4. Sélectionnez « Désinstaller »

Sinon, vous pouvez directement la désinstaller depuis Google Play :

1. Accédez à l’application Google Play
2. Appuyez sur l’icône de menu
3. Accédez à « Mes applications »
4. Appuyez sur l’application en question
5. Sélectionnez « Désinstaller »