Filip Chytrý, chercheur en sécurité chez Avast explique les tours de passe-passe de porn clicker, un malware mutant résistant sur Google Play.
Un véritable jeu du chat et de la souris est en cours entre une équipe de créateurs de logiciels malveillants et Google. Le jeu se déroule de la façon suivante : les hackers mettent en ligne leur programme malveillant sur Google Play, Google Play le retire rapidement, ils le remplacent ensuite par une nouvelle mutation du programme que Google retire à nouveau. Ces applications malveillantes ont jusqu’à présent infecté des centaines de milliers d’utilisateurs.
En avril dernier, Avast a découvert le malware porn clicker sur Google Play, qui a pu être téléchargé entre 100 000 et 500 000 fois en se faisant passer pour l’application populaire Dubsmash.
Une fois l’application installée, aucun indice particulier ne permettait à l’utilisateur d’identifier sur son appareil une application intitulée “Dubsmash 2” : en effet, l’application générait à la place une icône qui se présentait sous le nom de “Réglages IS”. Lorsque l’utilisateur ouvre cette application, le Google Play Store active la page de téléchargement de l’actuel “Dubsmash”. Par la même occasion, une liste de liens redirigeant vers divers sites pornographiques est téléchargée, conduisant au lancement d’un des liens de cette liste dans le navigateur. Après une dizaine de secondes, le code procède au clic d’autres liens au sein même du site pornographique.
Dès lors qu’Avast a pris connaissance de cette application malveillante, l’éditeur a contacté Google et l’application a été rapidement retirée du Play Store.
Un malware « mutant »
En juillet dernier, Avast a identifié une mutation du malware porn clicker, créée par la même équipe turque qui était à l’origine de ce logiciel malveillant. Google a une nouvelle fois réagi rapidement et l’a retirée du Play Store.
Une fois téléchargées, les applications ne présentent aucune activité importante lorsque l’utilisateur procède à l’ouverture de celles-ci, et affichent seulement une image fixe. Toutefois, lorsque l’utilisateur, qui ne se doute de rien, ouvre son navigateur ou d’autres applications, l’application malveillante parcourant l’arrière-plan du système renvoie directement vers des sites pornographiques. Les victimes ne comprennent pas forcément d’où proviennent ces redirections, car il n’est possible d’arrêter ce processus qu’en supprimant l’application.
Les chercheurs en sécurité de chez Eset peu de temps après que de nombreuses applications ayant subi cette mutation se trouvaient dans Google Play, et que la forme originelle du malware y a été téléchargée à plusieurs reprises en mai dernier. Les découvertes d’Avast, combinées à celles d’Eset, prouvent que les auteurs de ces malwares persistent dans leur intention de faire de Google Play une résidence permanente pour leurs logiciels malveillants.
« Nous serons de retour… »
…voilà ce qu’ont dû prononcer ces hackers lorsque Google a pris soin de retirer leurs applications du Play Store. Quelques jours plus tard, le malware était déjà de retour sur Google Play. Le malware, qu’Avast a identifié sous l’appellation « Clicker-AR », était présent dans les trois applications suivantes : Doganin Güzellikleri, Doganin Güzellikleri 2, Doganin Güzellikleri 3. Ce qui signifie littéralement « Beautés de la Nature ». Les pirates avaient en effet modifié les noms des développeurs afin que Google ne puisse pas les retrouver facilement. Avast a signalé à Google la présence de ces applications malveillantes et celles-ci ont été une nouvelle fois retirées.
Que peut faire l’utilisateur ?
En plus d’avoir installé un antivirus sur son téléphone mobile, l’utilisateur doit également s’assurer de respecter les points suivants :
Faire attention aux demandes d’autorisations des applications. Si une application fait une demande d’autorisation que l’utilisateur ne juge pas nécessaire pour le bon fonctionnement de l’application, cela annonce probablement la présence d’une faille.
Vérifier les avis d’utilisateurs. Si d’autres utilisateurs rapportent de mauvaises critiques à propos de l’application, c’est peut-être le signe que cette application ne doit pas être téléchargée.
