Un logiciel espion découvert sur Google Play et APKPure dans des dizaines d’applications

Publié le

Même si de nombreux efforts ont été fournis par Google ces dernières années, force est de constater que le Play Store reste un nid à malware. Régulièrement, les chercheurs en sécurité y débusquent des applications dangereuses et mettent en lumière des campagnes malveillantes. Dernièrement, Kaspersky a découvert une campagne de ce type qui se matérialise par des dizaines d’applications malveillantes. Certaines ont également été repérées sur les magasins d’applications alternatifs APKPure et Androidappsapk.

Smartphone tenu en main

Une campagne malveillante active depuis 5 ans !

Baptisée PhantomLance par les chercheurs en cybersécurité de Kaspersky, cette campagne diffuse un logiciel espion. Il s’agit d’un cheval de Troie disposant de fonctionnalités d’extractions de données personnelles. Ainsi, il serait capable de voler les journaux d’appel, les sms, les contacts ou encore les données GPS des victimes. Selon les investigations de Kaspersky, le premier domaine enregistré pour cette campagne malveillante serait vieux de 5 ans :

PhantomLance existe depuis plus de cinq ans et les acteurs de la menace ont réussi à contourner les filtres des magasins d’applications à plusieurs reprises, en utilisant des techniques avancées pour atteindre leurs objectifs.

Alexey Firsh – Kaspersky

Pour parvenir à leurs fins, les cybercriminels derrière cette campagne malveillante ont rusé. En effet, ils ont utilisé de faux profils de développeurs, allant jusqu’à y associer des comptes GitHub. Pour passer entre les mailles du filet, la première version des applications ne contenait pas de code malveillant.

Selon Kaspersky, c’est au fil des mises à jour successives que des charges utiles et un code malveillant ont été implémenté. Les chercheurs expliquent qu’environ 300 tentatives d’infection ont été relevées dans des pays tels que l’Algérie, l’Afrique du Sud, l’Inde ou encore le Vietnam.

Crédits : Kaspersky

La question des magasins alternatifs

Les applications utilisées pour diffuser le Cheval de Troie sont pour la plupart des utilitaires. Elles ne sont pas très connues, mais beaucoup d’utilisateurs cherchent à optimiser leur smartphone ou à bloquer des pubs sur mobile. Dans son article, Kaspersky explique que ces applications ont été supprimées du Google Play Store. Malheureusement, elles seraient encore diffusées sur des marketplaces alternatives telles que APKPure ou Androidappsapk.

Pour rappel, ces magasins d’applications ont globalement tous le même fonctionnement. Ils aspirent le Play Store pour récupérer les fichiers d’installations des applications, les images, les liens, les descriptions, etc. Ces fichiers d’installations sont parfois modifiés et sauvegardés sur des serveurs n’appartenant pas à Google. Cela signifie que si une application malveillante gruge les systèmes de vérifications de Google et que ces magasins la récupèrent, ils deviennent malgré eux vecteurs du malware.

Généralement, Google supprime rapidement les applications malveillantes lorsqu’elle est alertée, mais ce n’est pas toujours le cas pour ces marketplaces alternatives. Par conséquent, nous vous recommandons d’être très vigilants lorsque vous téléchargez des APK depuis ces sites.

Source : Kaspersky

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Autres articles sur le même sujet