Google Play : des mouchards dissimulés dans des applications photo populaires

Publié le 20 septembre 2019

Deux applications dédiées aux selfies et totalisant près d’un million et demi de téléchargements sur Google Play enregistraient secrètement leurs utilisateurs. En plus de réaliser des enregistrements audio sans le consentement de ces derniers, elles distillaient également des publicités s’affichant sur la totalité de l’écran de l’appareil.

Des fonctionnalités suspectes

Des chercheurs en sécurité de Wandera ont découvert que “Sun Pro Beauty Camera” et “Funny Sweet Beauty Selfie Camera” demandaient des autorisations qui ne correspondaient pas à leur nature. En dehors des permissions requises pour des applications utilisant un appareil photo, les spécialistes ont découvert des demandes suspectes.

Crédits: Wandera

L’autorisation SYSTEM_ALERT_WINDOW en fait partie. Elle permet à une application de superposer du contenu arbitraire sur une autre application. Une telle permission est susceptible d’être utilisée pour du phishing en affichant une interface trompeuse à l’utilisateur qui sera invité à y saisir des données sensibles.

L’autre détail suspect relevé par les chercheurs est l’autorisation RECORD_AUDIO qui permet, comme son nom l’indique, de déclencher des enregistrements audio sans avertir l’utilisateur.

Des applications persistantes

Les chercheurs de Wandera ont déterminé que les applications créaient leur raccourci respectif avant de se supprimer automatiquement de la grille d’applications. Cette méthode permet d’assurer une meilleure persistance sur l’appareil, les utilisateurs étant contraints de se rendre dans les paramètres de leur smartphone pour la désinstallation.

Si les deux applications demandent les mêmes autorisations, leur comportement diffère quelque peu. En effet, “Funny Sweet Beauty Camera” n’affiche les publicités indésirables que lorsqu’elle est ouverte et que l’on tente d’y télécharger des filtres photo.

“Sun Pro Beauty Camera” n’a, à contrario, pas besoin d’être lancée pour que l’adware dissimulé dans son code se déclenche. Selon Wandera, le redémarrage du téléphone ne permet pas de se débarrasser des publicités qui sont très envahissantes et difficiles à fermer.

Le ou les individus derrière ces applications ont utilisé un empaqueteur d’applications chinois nommé Ijiami pour se protéger. Toutefois, comme le précisent les chercheurs, cela ne signifie pas que toutes les applications empaquetées par le biais d’Ijiami sont malveillantes. L’utilisation d’un empaqueteur étant très courante, notamment pour la protection de la propriété intellectuelle.

Wandera a averti Google qui a supprimé les applications dans la foulée. Si vous utilisez ces applis, la société de cybersécurité vous recommande de les désinstaller en vous rendant directement dans le menu des applications, dans les paramètres de votre smartphone. Nous vous conseillons également de faire preuve de prudence lorsque vous installez des applications, en vérifiant les autorisations demandées, et ce même si elles proviennent de boutiques et de sites officiels.

Sources: Wandera via Bleeping Computer